Issue:
Skapar och underhåller Policy Manager en granskningslogg för användar- och administratörsaktivitet? Till exempel för dessa evenemang:
- Användarinloggning / utloggning
- Värdborttagning / lägg till / byt namn på händelser
- Policy för underdomän radering/lägg till/byt namn på händelser
- Ändring av policyinställningar
Resolution:
Policy Manager Server-loggarna finns i följande mapp:
- C:\Program Files (x86)\F-Secure\Management Server 5\logs
Användarinloggningsåtgärderna registreras i fspms-users.log . Loggen visar inte hela användarnamnet, bara användar-ID. För att få det fullständiga användarnamnet måste en fråga utföras med hjälp av H2Console. H2Console är inte aktiverad som standard, så den måste aktiveras innan du kan köra frågan.
Så här aktiverar du H2Console:
Obs! Säkerhetskopiera ditt register innan du gör några registerändringar- Öppna Registereditorn (regedit)
- Policy Manager 15: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Data Fellows\F-Secure\Management Server 5\
- Policy Manager 16: HKLM\SOFTWARE\WithSecure\Policy Manager\Policy Manager Server
- Redigera "additional_java_args"
- Lägg till parameter: -Dh2ConsoleEnabled=true
- Stäng registerredigeraren och starta om Policy Manager Server-tjänsten genom att köra kommandoradskommandon net stop fsms och net start fsms ( net stop wspms och net start wspms för Policy Manager 16 )
Så här öppnar du H2Console och kör en fråga:- Öppna en webbläsare och gå till https://localhost:8080
- Klicka på länken H2Console
- Skriv in fråga: SELECT * FROM users;
- Klicka på Kör (Ctrl+Enter) för att köra frågan
Du får ett resultat som visar vilka användarnamn som motsvarar vilket användar-ID.
Ändringar av policyinställningar sparas i fspms-policy-audit.log .
Ändringar gjorda på policydomänens datorer/servrar eller specifikt ändringar gjorda i policydomänstrukturen sparas i fspms-domain-tree-audit.log .
En annan logg att titta på är fspms-active-directory-rules.log. Till exempel, om AD-synkroniseringsregeln kördes och värd med unikt ID, 4d896695-8de1-4f96-9c29-0ebd2bb60418 flyttades till en domän, kommer du att se att följande loggas:
20.06.2022 17:59:01,276 INFO [activeDirectoryRules] - Börjar bearbeta manuellt utlöst regel [ruleId=5, domainController='LDAP://<domännamn>', containerDn='OU=<OU-namn>,DC=< partiellt domännamn>,DC=<partiellt domännamn>', containerGuid='XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX', targetDomainId=<policydomän-ID>, enabled=true]
20.06.2022 17:59:01,386 INFO [activeDirectoryRules] - 1 värdar hittades i Active Directory, 0 av dem ohanterade
20.06.2022 17:59:01,388 INFO [activeDirectoryRules] - Domän <policydomännamn> uppdaterad
20.06.2022 17:59:01,390 INFO [activeDirectoryRules] - Värd med identitet 4d896695-8de1-4f96-9c29-0ebd2bb60418 flyttad
20.06.2022 17:59:01,416 INFO [activeDirectoryRules] - Regeln har bearbetats
F: Hur tar man reda på vem som har tagit bort en policyunderdomän i Policy Manage Console?
S: Denna information är tillgänglig i fspms-domain-tree-audit.log s. Nedan är ett exempel där en underdomän som heter test lades till och omedelbart raderades.
05.12.2019 09:44:17,785 INFO [audit.domainTree] - Användarens "admin" lade till domäntest (id=76) till domänroten (id=1)
05.12.2019 09:44:23,615 INFO [audit.domainTree] - Användarens "admin" raderade domäntest (id=76)
Article no: 000007129
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.