Issue:
Policy Manager crée-t-il et gère-t-il un journal d'audit pour l'activité des utilisateurs et des administrateurs ? Par exemple pour ces événements :
- Connexion/déconnexion de l'utilisateur
- Suppression d'hôte/ajout/renommage d'événements
- Événements de suppression/ajout/renommage de sous-domaines de stratégie
- Modification des paramètres de stratégie
Resolution:
Les journaux du serveur Policy Manager se trouvent dans le dossier suivant :
- C:\Program Files (x86)\F-Secure\Management Server 5\logs
Les actions de connexion de l'utilisateur sont enregistrées dans le fspms-users.log . Le journal n'affiche pas le nom d'utilisateur complet, uniquement l'ID utilisateur. Pour obtenir le nom complet de l'utilisateur, une requête doit être effectuée à l'aide de la H2Console. La H2Console n'est pas activée par défaut, elle devra donc être activée avant que vous puissiez exécuter la requête.
Comment activer H2Console :
Remarque : Veuillez sauvegarder votre registre avant d'apporter des modifications au registre.- Ouvrir l'éditeur de registre (regedit)
- Policy Manager 15: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Data Fellows\F-Secure\Management Server 5\
- Policy Manager 16: HKLM\SOFTWARE\WithSecure\Policy Manager\Policy Manager Server
- Modifier "additional_java_args"
- Ajouter un paramètre : -Dh2ConsoleEnabled=true
- Fermez l'éditeur de registre et redémarrez le service Policy Manager Server en exécutant les commandes de ligne de commande net stop fsms et net start fsms ( net stop wspms et net start wspms pour Policy Manager 16 ).
Comment ouvrir H2Console et exécuter une requête :- Ouvrez un navigateur et accédez à https://localhost:8080
- Cliquez sur le lien H2Console
- Tapez la requête : SELECT * FROM users;
- Cliquez sur Exécuter (Ctrl+Entrée) pour exécuter la requête
Vous recevrez un résultat indiquant quels noms d'utilisateur correspondent à quel ID utilisateur.
Les modifications apportées aux paramètres de stratégie sont enregistrées dans fspms-policy-audit.log .
Les modifications apportées aux ordinateurs/serveurs du domaine de stratégie ou spécifiquement les modifications apportées à la structure du domaine de stratégie sont enregistrées dans fspms-domain-tree-audit.log .
Un autre journal à consulter est fspms-active-directory-rules.log. Par exemple, si la règle de synchronisation AD a été exécutée et que l' hôte avec l'ID unique 4d896695-8de1-4f96-9c29-0ebd2bb60418 a été déplacé vers un domaine, vous constaterez que les éléments suivants sont enregistrés :
20.06.2022 17:59:01,276 INFO [activeDirectoryRules] - Démarrage du traitement de la règle déclenchée manuellement [ruleId=5, domainController='LDAP://<domain name>', containersDn='OU=<OU name>,DC=< nom de domaine partiel>, DC=<nom de domaine partiel>', containersGuid='XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX', targetDomainId=<ID de domaine de stratégie>, activé=true]
20.06.2022 17:59:01,386 INFO [activeDirectoryRules] - 1 hôtes trouvés dans Active Directory, 0 d'entre eux non gérés
20.06.2022 17:59:01,388 INFO [activeDirectoryRules] - Domaine <nom de domaine de stratégie> mis à jour
20.06.2022 17:59:01,390 INFO [activeDirectoryRules] - Hôte ayant l'identité 4d896695-8de1-4f96-9c29-0ebd2bb60418 déplacé
20.06.2022 17:59:01,416 INFO [activeDirectoryRules] - La règle a été traitée avec succès
Question : Comment savoir qui a supprimé un sous-domaine de stratégie dans Policy Manage Console ?
R : Ces informations sont disponibles dans les fspms-domain-tree-audit.log s. Vous trouverez ci-dessous un exemple dans lequel un sous-domaine appelé test a été ajouté et immédiatement supprimé.
05.12.2019 09:44:17,785 INFO [audit.domainTree] - L'utilisateur 'admin' a ajouté le test de domaine (id=76) à la racine du domaine (id=1)
05.12.2019 09:44:23,615 INFO [audit.domainTree] - Test de domaine supprimé par l'utilisateur 'admin' (id=76)
Article no: 000007129
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.