Issue:
Erstellt und pflegt Policy Manager ein Überwachungsprotokoll für Benutzer- und Administratoraktivitäten? Zum Beispiel für diese Veranstaltungen:
- Benutzeranmeldung/-abmeldung
- Host-Ereignisse löschen/hinzufügen/umbenennen
- Ereignisse zum Löschen/Hinzufügen/Umbenennen von Richtlinien-Subdomänen
- Änderung der Richtlinieneinstellungen
Resolution:
Die Policy Manager Server-Protokolle finden Sie im folgenden Ordner:
- C:\Programme (x86)\F-Secure\Management Server 5\logs
Die Benutzeranmeldeaktionen werden im fspms-users.log aufgezeichnet. Das Protokoll zeigt nicht den vollständigen Benutzernamen, sondern nur die Benutzer-ID. Um den vollständigen Benutzernamen zu erhalten, muss eine Abfrage über die H2Console durchgeführt werden. Die H2Console ist standardmäßig nicht aktiviert, daher muss sie aktiviert werden, bevor Sie die Abfrage ausführen können.
So aktivieren Sie H2Console:
Hinweis: Bitte sichern Sie Ihre Registrierung, bevor Sie Änderungen an der Registrierung vornehmen- Öffnen Sie den Registrierungseditor (regedit)
- Policy Manager 15: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Data Fellows\F-Secure\Management Server 5\
- Policy Manager 16: HKLM\SOFTWARE\WithSecure\Policy Manager\Policy Manager Server
- Bearbeiten Sie „additional_java_args“
- Parameter hinzufügen: -Dh2ConsoleEnabled=true
- Schließen Sie den Registrierungseditor und starten Sie den Policy Manager Server-Dienst neu, indem Sie die Befehlszeilenbefehle net stop fsms und net start fsms ( net stop wspms und net start wspms für Policy Manager 16 ) ausführen.
So öffnen Sie H2Console und führen eine Abfrage aus:- Öffnen Sie einen Browser und gehen Sie zu https://localhost:8080
- Klicken Sie auf den H2Console-Link
- Geben Sie die Abfrage ein: SELECT * FROM users;
- Klicken Sie auf Ausführen (Strg+Eingabetaste), um die Abfrage auszuführen
Sie erhalten ein Ergebnis, das zeigt, welche Benutzernamen welcher Benutzer-ID entsprechen.
An Richtlinieneinstellungen vorgenommene Änderungen werden in fspms-policy-audit.log gespeichert.
Änderungen an den Computern/Servern der Richtliniendomäne oder speziell an der Struktur der Richtliniendomäne vorgenommene Änderungen werden in gespeichert fspms-domain-tree-audit.log .
Ein weiteres Protokoll, das Sie sich ansehen sollten, ist fspms-active-directory-rules.log. Wenn beispielsweise die AD-Synchronisierungsregel ausgeführt wurde und der Host mit der eindeutigen ID 4d896695-8de1-4f96-9c29-0ebd2bb60418 in eine Domäne verschoben wurde, wird Folgendes protokolliert:
20.06.2022 17:59:01,276 INFO [activeDirectoryRules] – Beginn der Verarbeitung der manuell ausgelösten Regel [ruleId=5, domainController='LDAP://<domain name>', containerDn='OU=<OU name>,DC=< Teildomänenname>,DC=<Teildomänenname>', ContainerGuid='XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX', TargetDomainId=<Richtliniendomänen-ID>, aktiviert=true]
20.06.2022 17:59:01.386 INFO [activeDirectoryRules] – 1 Hosts im Active Directory gefunden, 0 davon nicht verwaltet
20.06.2022 17:59:01.388 INFO [activeDirectoryRules] – Domäne <Richtliniendomänenname> aktualisiert
20.06.2022 17:59:01,390 INFO [activeDirectoryRules] – Host mit Identität 4d896695-8de1-4f96-9c29-0ebd2bb60418 verschoben
20.06.2022 17:59:01,416 INFO [activeDirectoryRules] – Regel wurde erfolgreich verarbeitet
Q: Wie finde ich heraus, wer eine Richtlinien-Subdomäne in der Policy Manage Console gelöscht hat?
A: Diese Informationen sind in den fspms-domain-tree-audit.log s verfügbar. Unten sehen Sie ein Beispiel, bei dem eine Subdomain namens test hinzugefügt und sofort gelöscht wurde.
05.12.2019 09:44:17.785 INFO [audit.domainTree] – Benutzer „admin“ hat den Domänentest (id=76) zum Domänenstamm (id=1) hinzugefügt.
05.12.2019 09:44:23,615 INFO [audit.domainTree] – Benutzer „admin“ hat den Domänentest gelöscht (id=76)
Article no: 000007129
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.