MID-Server Audit-Protokoll des Befehls

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Das Befehls-Audit-Protokoll zeichnet die von ausgeführten Befehle auf MID-Server Für Discovery Anwendung. Überprüfen Sie die Befehle, um nach Anomalien oder Fehlern zu suchen.

    Einrichtungsindikator für SicherheitsphaseSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurierenSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurieren

    Das Audit-Protokoll für MID-Server-Befehle ist ein Datensatz der Befehle MID-Server Wird während der Discovery ausgeführt. Zum Beispiel kann die Ausführung eines Musters viele separate Befehle ausführen. Die MID-Server Das Befehls-Audit-Protokoll unterstützt Powershell-Befehle für WMI und WinRM. Für SSH-Befehle unterstützt das Audit-Protokoll SSNC, aber nicht J2SSH. In Quebec unterstützt das Befehls-Audit-Protokoll nur die Aufzeichnung der während der Discovery ausgeführten Befehle.

    Aktivieren Sie das Audit-Protokoll des Befehls

    Die MID-Server Audit-Protokoll ist mit aktiviert MID-Server Eigenschaft mid.log.command_audit.enable, Der standardmäßig auf „falsch“ festgelegt ist. Fügen Sie die Eigenschaft in hinzu MID-Server-Eigenschaften Tabelle [ecc_Agent_property_list.do]. Nach der Aktivierung wird die aktiviert MID-Server Auf Befehls-Audit-Protokolle wird in der Instanz zugegriffen, indem Sie zu navigieren MID-Server > Befehlsauditprotokolle [ecc_Agent_command_Audit_log_list.do]. Um diese Tabelle anzuzeigen oder zu ändern, muss der Anwender über die Rolle verfügen Agent_Security_admin .

    Typische Daten in den Auditprotokollen des MID-Server-Befehls.

    Daten, die in den Befehls-Audit-Protokollen aufgezeichnet wurden

    Die MID-Server Das Befehls-Audit-Protokoll zeichnet den Namen des Befehls und den Befehls-Hash auf. Wenn eine Probe beispielsweise während der Discovery keinen Befehl ausführt, sondern stattdessen ein Skript ausführt, wird der Skriptname aufgezeichnet. Der Befehlshash wird basierend auf dem Inhalt des Skripts berechnet, unabhängig vom Namen. Daher wirkt sich das Ändern des Namens nicht auf den Befehlshash aus.

    Wenn eine Probe, z. B. ein WMIRunner, einen Befehl mit mehreren WMI-Feldern ausführt, erstellt WMI ein Skript, um diese Felder abzufragen. Das Skript wird vorübergehend auf erstellt MID-Server Host im temporären Ordner. Nachdem das Skript ausgeführt wurde, wird es aus dem temporären Ordner entfernt. Das Skript erhält einen Namen basierend auf den Feldern und einer zufälligen Zahl. Der Hash-Schlüssel ist jedoch bei denselben Inhalten immer derselbe.

    Das Befehls-Audit-Protokoll meldet den Ausführungsstatus entweder als Erfolg oder als Fehler. Der Datensatzeintrag ist ein Erfolg, wenn der Befehl ausgeführt wurde, oder ein Fehler, wenn er nicht ausgeführt werden konnte. Das Befehls-Audit-Protokoll berücksichtigt das Ergebnis des ausgeführten Befehls nicht. Beispiel: Ein Befehl, der ausgeführt wird, aber die Datenerfassung fehlschlägt, wird im Ausführungsstatus weiterhin als Erfolg aufgeführt.

    Discovery unterstützt JEA-Profile für WinRM. Die MID-Server Das Befehls-Audit-Protokoll zeichnet das JEA-Profil des Discovery-Befehls auf, falls verfügbar. Siehe Microsoft Just Enough Administration (JEA) für Discovery Weitere Informationen zu JEA-Profilen.

    Standardmäßig wird die Tabelle alle sieben Tage rotiert. Weitere Informationen finden Sie unter Tabellenrotation .