Le serveur REST eDirectory peut envoyer les journaux des événements d'audit CEF au serveur Sentinel. Le serveur REST envoie les données d'audit à l'aide de connecteurs ArcSight SmartConnector. Pour plus d'informations sur la configuration et sur l'utilisation des connecteurs SmartConnector, reportez-vous au manuel ArcSight SmartConnector User Guide (Guide de l'utilisateur d'ArcSight SmartConnector).
Pour activer l'audit pour les services REST, vous devez configurer les paramètres liés à l'audit dans le fichier de configuration. Pour plus d'informations, reportez-vous à la section Planification de l'installation des services REST pour eDirectory.
Par défaut, tous les événements REST sont activés. Vous pouvez désactiver un événement s'il n'est pas nécessaire pour votre organisation. Le serveur REST eDirectory peut auditer les événements suivants :
|
Événement |
Description |
|---|---|
|
ENABLESERVICESTARTAUDIT |
Génère un événement en cas de démarrage du service REST. |
|
ENABLESERVICESTOPAUDIT |
Génère un événement en cas d'arrêt du service REST. |
|
ENABLELOGSESSIONCREATIONAUDIT |
Génère un événement en cas de création d'une session REST. |
|
ENABLELOGSESSIONTERMINATIONAUDIT |
Génère un événement en cas de fin d'une session REST. |
REMARQUE :les fichiers journaux se trouvent dans /var/opt/novell/eDirAPI/log/edirapi_auditlog.log.
Voici un exemple d'événement Créer une session :
Oct 10 15:37:17 eDirAPI CEF:0|NetIQ|eDirAPI|1.0|000B0510|SESSION_CREATE|3|dvc=10.71.128.233 dvchost=SLES12SP3-SHREYAS-128233 rt=Oct 10 2019 15:37:17 dtz=IST src=164.99.136.60 spt=59132 suser=cn\=admin,o\=novell duser=cn\=admin,o\=novell cn1Label=CorrelationID cn1=rtpL9xt-tzBR92fEGt9rrczA_1M2vHrGM4Q_8AjEmSU= cs1Label=Client Address cs1=164.99.136.60 cs2Label=Tree Name cs2=SHREYAS_TREE2 sproc=eDirAPI sourceServiceName=edirapi reason=201 outcome=Success