审计日志的说明
审计日志会记录系统执行的操作。
当系统中存储的数据被非法访问或篡改,或者经过指定的时间段(约每月一次)后,管理员须对这些数据进行分析。
备注
- 如果分析审计日志的结果表明密码遭到泄露,则应该立即更改密码。
- 也有可能密码被篡改,导致原所有者无法再访问。管理员必须联系受影响的用户,确认是否存在这种情况,并支持他们更改密码或删除保存的数据。
- 如果原本应该保存的文件尚未保存,或者文件内容遭到更改,则可能是由于非法活动所致。需要获得相同类型的响应。
审计日志包含以下信息。
日期/时间 | 目标操作存储在日志中的日期和时间 |
设备 | 表示型号名称。 |
sn | 表示本系统的序列号。 |
logtype | 表示审计日志的类型。 |
操作 | 操作说明 有关详细信息,请参见"审计日志项目列表"。 |
id | 代表执行操作的人员或需要安全保护的数据。 "-1":客户工程师(CE)执行的操作 "-2":管理员执行的操作 "-3":未注册用户执行的操作 除上述以外的整数:每个安全连接的目标 用户 ID:1 至 1000 个数字字符 安全用户 ID(安全打印时在计算机上设置):1 至 5 个数字字符(用户设置的数字) |
结果 | 显示操作结果。 输入成功或失败的密码分别表示为 OK 和 NG。 无需密码认证的操作结果均列为成功(OK)。 |
审计日志中保存的项目表
存储的操作 | 操作说明 | 审计 ID | 审计结果 |
|---|---|---|---|
用户认证和识别 | |||
1 | 执行 CE 认证 | CE ID | OK/NG |
5 | 更改或注册 CE 密码 | CE ID | OK |
2 | 执行管理员认证 | 管理员 ID | OK/NG |
6 | 更改或注册管理员密码 | CE ID/管理员 ID | OK |
11 | 执行用户认证 | 用户 ID *1/未注册 ID *2 | OK/NG |
用户修改 | |||
7 | 由管理员创建用户 | 用户 ID | OK |
8 | 由管理员更改或注册用户密码 | 用户 ID | OK |
9 | 由管理员删除用户 | 用户 ID | OK |
10 | 由管理员更改用户属性 | 用户 ID | OK |
12 | 由用户更改用户属性(更改用户密码等) | 用户 ID | OK |
使用管理功能并更改安全设置 | |||
3 | 配置或更改增强安全模式 | 管理员 ID | OK/NG |
41 | 更改密码设置规则 | 管理员 ID | OK |
42 | 更改网络设置 | 管理员 ID | OK |
43 | 更改服务登录许可设置 | 管理员 ID | OK |
使用管理功能和安全审计 | |||
4 | 审计日志的输出(syslog 服务器连接检查) | 管理员 ID | OK/错误编号 |
44 | 更改审计日志目的地设置 | 管理员 ID | OK |
使用管理功能和加密支持 | |||
45 | 启动 HDD 加密功能 | 未注册 ID | OK |
46 | [存储加密设置]的更改 | 管理员 ID | OK |
47 | 更改 HDD 加密密码 | 管理员 ID | OK |
使用管理功能和保护安全功能的操作环境 | |||
49 | 执行 ISW | CE ID/管理员 ID | OK/NG |
50 | 执行固件诊断 | 管理员 ID/未注册 ID | OK/NG |
51 | 执行设备诊断 | 管理员 ID/未注册 ID | OK/NG |
更改时间(使用管理功能和保护安全功能的操作环境) | |||
20 | 设置时间和日期 | 用户 ID | OK |
启动和/或结束审计功能 | |||
52 | 开机(启动审计功能) | 未注册 ID | OK |
53 | 关机(完成审计功能)*副电源 | 未注册 ID | OK |
54 | 关机(结束审计功能)*主电源 | 未注册 ID | OK |
作业终止/运行 | |||
16 | 删除保存的作业 | 用户 ID | OK |
21 | 打印复印作业 | 用户 ID/未注册 ID | OK/NG |
22 | 保存复印作业 | 用户 ID/未注册 ID | OK/NG |
23 | 打印打印作业 | 用户 ID/未注册 ID | OK/NG |
25 | 执行扫描作业 | 用户 ID/未注册 ID | OK/NG |
26 | 打印保存的作业 | 用户 ID/未注册 ID | OK/NG |
27 | 更改或重新保存已保存的作业(移动或复制) | 用户 ID/未注册 ID | OK/NG |
28 | 调用保存的作业 | 用户 ID/未注册 ID | OK/NG |
29 | 输出保存的作业文件 | 用户 ID/未注册 ID | OK/NG |
*1:当成功执行用户认证时,或者用户名与注册密码不匹配时,审计日志 ID 另存为用户 ID。
*2:当使用未注册用户名并且用户认证失败时,审计日志 ID 另存为未注册的用户 ID。
分析审计日志的目的在于发现以下信息并实施对策。
- 是否访问和/或篡改数据
- 攻击目标
- 攻击详情
- 攻击结果
如果因密码认证尝试导致日志显示"NG"(操作 01、02、11),则受密码保护的目标项目可能已受到攻击。
- 代表密码认证失败(NG)的日志条目将通过"id"识别操作人员,并显示密码认证失败时是否执行了未授权的操作。
- 即使密码认证成功(OK),仍可能需要确认是否是合法用户执行的操作。建议仔细检查,尤其是尝试多次失败(NG)后才完成成功(OK)的认证,或者是在非正常工作时间进行的密码认证尝试。这很可能是非法行为。
由于密码认证以外的所有操作结果均表示为成功(OK),所以要使用"id"和"操作"确定是否执行了任何未授权的操作。
- 检查操作的时间,确认操作已识别目标的人员是否执行了任何未授权的操作。
,则会变为
并且注册为书签。