Παράλειψη στο κύριο περιεχόμενο

Το Audit Log δεν εμφανίζει συμβάντα

Το Audit Log του VaultPAM καταγράφει δραστηριότητες που σχετίζονται με την ασφάλεια σε όλες τις περιόδους συνδέσεων, τα διαπιστευτήρια και τις διοικητικές ενέργειες. Εάν το αρχείο καταγραφής φαίνεται κενό ή λείπουν αναμενόμενα συμβάντα, η αιτία είναι σχεδόν πάντα ένα πρόβλημα φίλτρου ή δικαιώματος στο περιβάλλον χρήστη — όχι κενό στη σύλληψη συμβάντων. Ακολουθήστε τις παρακάτω αιτίες πριν ανορθώσετε.

Συμπτώματα

  • Η σελίδα Audit δεν εμφανίζει συμβάντα ή εμφανίζει το μήνυμα "Δεν βρέθηκαν αποτελέσματα".
  • Είναι ορατά μόνο ορισμένα συμβάντα, αλλά λείπουν αναμενόμενα συμβάντα περιόδου σύνδεσης ή διοικητικά συμβάντα.
  • Το αρχείο καταγραφής εμφανίζει συμβάντα από ορισμένες χρονικές περιόδους αλλά όχι από άλλες.
  • Ένας σωλήνας SIEM ή εξαγωγής αρχείου καταγραφής εμφανίζει λιγότερα συμβάντα από το αναμενόμενο.

Αιτίες

1. Λάθος φίλτρο χρονικού εύρους

Η προβολή audit log προεπιλέγεται σε ένα συγκεκριμένο χρονικό παράθυρο (όπως τις τελευταίες 24 ώρες). Εάν τα συμβάντα που αναζητάτε έγιναν έξω από το τρέχον παράθυρο φίλτρου, δεν θα εμφανιστούν.

Έλεγχος: Ανοίξτε Audit → Events και δείτε το φίλτρο Time range. Επιβεβαιώστε ότι καλύπτει την χρονική περίοδο κατά την οποία τα συμβάντα θα έπρεπε να έχουν συμβεί.

Επίλυση: Επεκτείνετε το φίλτρο χρονικού εύρους για να καλύψει την περίοδο ενδιαφέροντος. Χρησιμοποιήστε Custom range εάν τα προεπιλεγμένα παράθυρα δεν φτάνουν αρκετά πίσω.

2. Ο χρήστης δεν έχει δικαίωμα προβολής audit log

Η πρόσβαση στο audit log είναι ένα ξεχωριστό δικαίωμα από τη γενική διοικητική πρόσβαση. Ένας χρήστης με διοικητικό ρόλο μπορεί ακόμα να στερείται του δικαιώματος View audit log εάν δεν του έχει δοθεί ρητά.

Έλεγχος: Ανοίξτε Profile → My Access και επιβεβαιώστε ότι ο ρόλος σας περιλαμβάνει View audit log. Εάν δεν μπορείτε να δείτε καθόλου το μενού Audit, δεν έχετε αυτό το δικαίωμα.

Επίλυση: Ζητήστε από έναν διοικητή VaultPAM να χορηγήσει στο ρόλο σας το δικαίωμα View audit log μέσω Organization → Access → Roles → Edit role. Η αλλαγή δικαιώματος ισχύει αμέσως.

3. Συμβάντα φιλτραρισμένα κατά τύπο

Το audit log περιλαμβάνει ένα φίλτρο για την κατηγορία συμβάντος (για παράδειγμα, Session, Credential, Admin, Authentication). Εάν μία ή περισσότερες κατηγορίες δεν είναι επιλεγμένες, τα συμβάντα τους δεν θα εμφανιστούν στην τρέχουσα προβολή.

Έλεγχος: Ανοίξτε Audit → Events και δείτε το φίλτρο Event type. Επιβεβαιώστε ότι όλες οι σχετικές κατηγορίες είναι επιλεγμένες (ή ότι το φίλτρο έχει οριστεί σε All).

Επίλυση: Επιλέξτε All στο φίλτρο τύπου συμβάντος ή ενεργοποιήστε χειροκίνητα τις κατηγορίες που χρειάζεστε. Το φίλτρο δεν επηρεάζει αυτό που καταγράφεται — μόνο αυτό που εμφανίζεται στην τρέχουσα προβολή.

4. Καθυστέρηση προώθησης SIEM

Εάν ο οργανισμός σας προωθεί συμβάντα audit σε ένα SIEM (όπως Splunk, Elastic ή συλλέκτη syslog), υπάρχει μια εγγενής καθυστέρηση διάδοσης μεταξύ του χρόνου καταγραφής ενός συμβάντος στο VaultPAM και του χρόνου εμφάνισής του στο SIEM. Κατά τις περιόδους υψηλού όγκου συμβάντων ή διακοπής συνδεσιμότητας, αυτή η καθυστέρηση μπορεί να επεκταθεί από δευτερόλεπτα σε αρκετά λεπτά.

Έλεγχος: Συγκρίνετε το συμβάν ορατό στο UI audit log του VaultPAM με αυτό που εμφανίζει το SIEM σας για το ίδιο χρονικό παράθυρο. Εάν το UI του VaultPAM εμφανίζει το συμβάν αλλά το SIEM δεν το εμφανίζει, η καθυστέρηση είναι στον σωλήνα προώθησης, όχι στο ίδιο το αρχείο audit του VaultPAM.

Επίλυση: Περιμένετε να περάσει η καθυστέρηση προώθησης και ανανεώστε το ερώτημα SIEM. Εάν η καθυστέρηση υπερβαίνει τη σχετική σας SLA, ζητήστε από έναν χειριστή να ελέγξει την κατάσταση του συνδέσμου SIEM στις ρυθμίσεις ολοκλήρωσης του VaultPAM και να αναθεωρήσει τη σύνδεση μεταξύ VaultPAM και του τελικού σημείου SIEM.

Βήματα επίλυσης

  1. Ανοίξτε Audit → Events και επιβεβαιώστε ότι το φίλτρο Time range καλύπτει την περίοδο κατά την οποία αναμένετε να βρείτε συμβάντα. Επεκτείνετε το σε Custom range εάν απαιτείται.
  2. Επιβεβαιώστε ότι το φίλτρο Event type περιλαμβάνει την κατηγορία συμβάντος που αναζητάτε. Επιλέξτε All για να καταργήσετε το φιλτράρισμα τύπου.
  3. Επαληθεύστε ότι ο ρόλος σας περιλαμβάνει το δικαίωμα View audit log μέσω Profile → My Access. Εάν όχι, επικοινωνήστε με έναν διοικητή VaultPAM.
  4. Εάν τα συμβάντα είναι ορατά στο UI του VaultPAM αλλά λείπουν από το SIEM σας, περιμένετε για τη καθυστέρηση προώθησης και ανανεώστε. Εάν η καθυστέρηση είναι επίμονη, ζητήστε από έναν χειριστή να ελέγξει την υγεία της ολοκλήρωσης SIEM.
  5. Μετά την προσαρμογή των φίλτρων, ανανεώστε τη σελίδα audit log και επανακάντε έλεγχο.

Διαδρομή κλιμάκωσης

Εάν το audit log εξακολουθεί να μην εμφανίζει συμβάντα μετά την επαλήθευση φίλτρων και δικαιωμάτων:

  1. Σημειώστε το ακριβές χρονικό εύρος, τους τύπους συμβάντων και τον χρήστη ή τον πόρο που εμπλέκεται.
  2. Επιβεβαιώστε εάν τα συμβάντα εμφανίζονται καθόλου στο αρχείο log του UI του VaultPAM (πριν από την προώθηση SIEM). Αυτό είναι το οριστικό αρχείο.
  3. Ανοίξτε ένα εισιτήριο υποστήριξης με: το χρονικό εύρος που αναζητήσατε, τους τύπους συμβάντων και τα φίλτρα που εφαρμόστηκαν, το ρόλο και το επίπεδο δικαιώματός σας, και εάν το αρχείο log του UI του VaultPAM δεν εμφανίζει επίσης συμβάντα.

Σχετικά άρθρα