Zum Hauptinhalt springen

Das Prüfprotokoll zeigt keine Ereignisse an

Das VaultPAM-Prüfprotokoll erfasst sicherheitsrelevante Aktivitäten über Sitzungen, Anmeldeinformationen und administrative Aktionen hinweg. Wenn das Protokoll leer erscheint oder erwartete Ereignisse fehlen, liegt die Ursache fast immer an einem Filter- oder Berechtigungsproblem in der Benutzeroberfläche – nicht an einer Lücke in der Ereigniserfassung. Arbeiten Sie die folgenden Ursachen durch, bevor Sie eskalieren.

Symptome

  • Die Seite Audit zeigt keine Ereignisse oder die Meldung „Keine Ergebnisse gefunden" an.
  • Nur einige Ereignisse sind sichtbar, aber erwartete Sitzungs- oder Admin-Ereignisse fehlen.
  • Das Protokoll zeigt Ereignisse aus bestimmten Zeiträumen, aber nicht aus anderen.
  • Eine SIEM- oder Protokollexport-Pipeline zeigt weniger Ereignisse als erwartet an.

Ursachen

1. Falscher Zeitbereichsfilter

Die Prüfprotokollansicht ist standardmäßig auf ein bestimmtes Zeitfenster eingestellt (etwa die letzten 24 Stunden). Wenn die gesuchten Ereignisse außerhalb des aktuellen Filterfensters aufgetreten sind, werden sie nicht angezeigt.

Prüfung: Öffnen Sie Audit → Events und sehen Sie sich den Filter Time range an. Vergewissern Sie sich, dass er den Zeitraum abdeckt, in dem die Ereignisse aufgetreten sein sollten.

Lösung: Erweitern Sie den Zeitbereichsfilter, sodass er den relevanten Zeitraum abdeckt. Verwenden Sie Custom range, wenn die voreingestellten Fenster nicht weit genug zurückreichen.

2. Benutzer hat keine Berechtigung zur Anzeige des Prüfprotokolls

Der Zugriff auf das Prüfprotokoll ist eine eigene Berechtigung, die vom allgemeinen Admin-Zugriff getrennt ist. Ein Benutzer mit einer Admin-Rolle kann dennoch die Berechtigung View audit log fehlen, wenn diese nicht ausdrücklich erteilt wurde.

Prüfung: Öffnen Sie Profile → My Access und bestätigen Sie, dass Ihre Rolle View audit log enthält. Wenn Sie das Menü „Audit" überhaupt nicht sehen können, verfügen Sie nicht über diese Berechtigung.

Lösung: Bitten Sie einen VaultPAM-Administrator, Ihrer Rolle die Berechtigung View audit log über Organization → Access → Roles → Edit role zu erteilen. Die Berechtigungsänderung wird sofort wirksam.

3. Nach Typ gefilterte Ereignisse

Das Prüfprotokoll enthält einen Filter für die Ereigniskategorie (zum Beispiel Session, Credential, Admin, Authentication). Wenn eine oder mehrere Kategorien abgewählt sind, werden ihre Ereignisse in der aktuellen Ansicht nicht angezeigt.

Prüfung: Öffnen Sie Audit → Events und sehen Sie sich den Filter Event type an. Vergewissern Sie sich, dass alle relevanten Kategorien ausgewählt sind (oder dass der Filter auf All eingestellt ist).

Lösung: Wählen Sie All im Ereignistyp-Filter aus oder aktivieren Sie manuell die benötigten Kategorien. Der Filter wirkt sich nicht darauf aus, was aufgezeichnet wird – nur darauf, was in der aktuellen Ansicht angezeigt wird.

4. Verzögerung bei der SIEM-Weiterleitung

Wenn Ihre Organisation Prüfereignisse an ein SIEM weiterleitet (etwa Splunk, Elastic oder einen syslog-Collector), besteht eine inhärente Ausbreitungsverzögerung zwischen dem Zeitpunkt, zu dem ein Ereignis in VaultPAM aufgezeichnet wird, und dem Zeitpunkt, zu dem es im SIEM erscheint. In Zeiten hohen Ereignisaufkommens oder bei Verbindungsunterbrechungen kann sich diese Verzögerung von Sekunden auf mehrere Minuten ausdehnen.

Prüfung: Vergleichen Sie das in der VaultPAM-UI im Prüfprotokoll sichtbare Ereignis mit dem, was Ihr SIEM für denselben Zeitraum anzeigt. Wenn die VaultPAM-UI das Ereignis anzeigt, das SIEM jedoch nicht, liegt die Verzögerung in der Weiterleitungs-Pipeline und nicht im VaultPAM-Prüfprotokolleintrag selbst.

Lösung: Warten Sie, bis die Weiterleitungsverzögerung abgeklungen ist, und aktualisieren Sie die SIEM-Abfrage. Wenn die Verzögerung Ihr erwartetes SLA überschreitet, bitten Sie einen Operator, den Status des SIEM-Connectors in den VaultPAM-Integrationseinstellungen zu überprüfen und die Verbindung zwischen VaultPAM und dem SIEM-Endpunkt zu überprüfen.

Lösungsschritte

  1. Öffnen Sie Audit → Events und bestätigen Sie, dass der Filter Time range den Zeitraum abdeckt, in dem Sie Ereignisse erwarten. Erweitern Sie ihn bei Bedarf auf Custom range.
  2. Bestätigen Sie, dass der Filter Event type die Kategorie des gesuchten Ereignisses enthält. Wählen Sie All, um die Typfilterung zu entfernen.
  3. Überprüfen Sie über Profile → My Access, dass Ihre Rolle die Berechtigung View audit log enthält. Falls nicht, wenden Sie sich an einen VaultPAM-Administrator.
  4. Wenn die Ereignisse in der VaultPAM-UI sichtbar sind, aber in Ihrem SIEM fehlen, warten Sie auf die Weiterleitungsverzögerung und aktualisieren Sie. Wenn die Verzögerung anhält, bitten Sie einen Operator, den Zustand der SIEM-Integration zu überprüfen.
  5. Aktualisieren Sie nach dem Anpassen der Filter die Prüfprotokollseite und überprüfen Sie erneut.

Eskalationspfad

Wenn das Prüfprotokoll auch nach der Überprüfung von Filtern und Berechtigungen weiterhin keine Ereignisse anzeigt:

  1. Notieren Sie den genauen Zeitbereich, die Ereignistypen sowie den beteiligten Benutzer oder die beteiligte Ressource.
  2. Bestätigen Sie, ob die Ereignisse überhaupt im VaultPAM-UI-Protokoll erscheinen (vor der SIEM-Weiterleitung). Dies ist der maßgebliche Eintrag.
  3. Eröffnen Sie ein Support-Ticket mit: dem von Ihnen durchsuchten Zeitbereich, den angewendeten Ereignistypen und Filtern, Ihrer Rolle und Berechtigungsstufe sowie der Angabe, ob auch das VaultPAM-UI-Protokoll keine Ereignisse anzeigt.

Verwandte Artikel