MID-Server Audit-Protokoll für Befehle

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Das Audit-Protokoll für Befehle zeichnet die Befehle auf, die von der Anwendung MID-Server für die Anwendung Discovery ausgeführt werden. Überprüfen Sie die Befehle, um sie auf Anomalien oder Fehler zu überprüfen.

    Richten Sie den Indikator für die Sicherheitsphase einSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurierenSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurieren

    Das Audit-Protokoll für MID-Server-Befehle ist ein Datensatz der Befehle, die MID-Server während der Discovery ausführt. Beispielsweise können durch die Ausführung eines Musters viele separate Befehle ausgeführt werden. Das Audit-Protokoll für den MID-Server -Befehl unterstützt PowerShell-Befehle für WMI und WinRM. Bei SSH-Befehlen unterstützt das Audit-Protokoll SSNC, jedoch nicht J2SSH. In Quebec unterstützt das Audit-Protokoll für Befehle nur die Aufzeichnung der Befehle, die während der Discovery ausgeführt werden.

    Aktivieren Sie das Audit-Protokoll für Befehle

    Das Audit-Protokoll MID-Server wird mit der Eigenschaft mid.log.command_audit.enableMID-Server aktiviert , die standardmäßig auf „false“ festgelegt ist. Fügen Sie die Eigenschaft in der Tabelle „ MID-Server-Eigenschaften “ [ecc_agent_property_list.do] hinzu. Nach der Aktivierung erfolgt der Zugriff auf die Audit-Protokolle für den Befehl MID-Server in der Instanz durch Navigieren zu MID-Server > Befehlsauditprotokolle [ecc_agent_command_audit_log_list.do] Um diese Tabelle anzuzeigen oder zu ändern, muss der Anwender über die Rolle agent_security_admin verfügen.

    Typische Daten in den Audit-Protokollen für MID-Server-Befehle.

    Daten, die in den Audit-Protokollen für Befehle aufgezeichnet werden

    Das Audit-Protokoll für den Befehl MID-Server zeichnet den Namen des Befehls und den Befehls-Hash auf. Wenn eine Probe beispielsweise während der Discovery keinen Befehl, aber stattdessen ein Skript ausführt, wird der Skriptname aufgezeichnet. Der Befehlshash wird unabhängig vom Namen basierend auf dem Inhalt des Skripts berechnet. Daher hat das Ändern des Namens keine Auswirkungen auf den Befehlshash.

    Wenn eine Probe, z. B. ein WMIRunner, einen Befehl mit mehreren WMI-Feldern ausführt, erstellt WMI ein einziges Skript, um diese Felder abzufragen. Das Skript wird vorübergehend auf dem Host MID-Server im Ordner „temp“ erstellt. Nachdem das Skript ausgeführt wurde, wird es aus dem temporären Ordner entfernt. Das Skript erhält einen Namen basierend auf den Feldern und einer zufälligen Nummer. Der Hash-Schlüssel ist jedoch bei gleichem Inhalt immer derselbe.

    Das Audit-Protokoll des Befehls meldet den Ausführungsstatus entweder als Erfolg oder Fehler. Der Datensatzeintrag ist ein Erfolg, wenn der Befehl ausgeführt wurde, oder ein Fehler, wenn er nicht ausgeführt werden konnte. Das Audit-Protokoll des Befehls berücksichtigt das Ergebnis der Ausführung des Befehls nicht. Beispielsweise wird ein Befehl, der ausgeführt wird, bei dem jedoch das Sammeln von Daten fehlschlägt, weiterhin im Ausführungsstatus als erfolgreich aufgeführt.

    Discovery unterstützt JEA-Profile für WinRM. Das Audit-Protokoll für den Befehl MID-Server zeichnet das JEA-Profil des Discovery-Befehls auf, falls verfügbar. Weitere Informationen zu JEA-Profilen finden Sie unter Microsoft Just Enough Administration (JEA) für Discovery.

    Standardmäßig wird die Tabelle alle sieben Tage rotiert. Weitere Informationen finden Sie unter Tabellenrotation.