Autentizační logy jsou často nejrychlejším způsobem, jak zjistit, zda byla konfigurační chyba způsobena běžnou administrativní akcí, nebo něčím podezřelejším. Následující postup je užitečný při vyšetřování incidentů, protože umožňuje rychle zkontrolovat historii přihlašovacích aktivit a zúžit ji na konkrétní switch a časové období.

1. Vyfiltrujte relevantní typ zařízení

Otevřete dashboard a filtrujte pouze logy pocházející ze síťových switchů. Poté přidejte další filtr pro úspěšná přihlášení, aby výsledná sada obsahovala pouze autentizované přístupy.

Log overview in Logmanager filtered to switch-related events and successful logins
Obr. 1: Přehled logů v Logmanageru filtrovaný na události související se switchi a úspěšná přihlášení.

2. Upravte časový rozsah

Nastavte časový interval na období, které je pro vaše vyšetřování relevantní. V uvedeném příkladu je vybrán druhý listopadový týden, aby se výsledky zaměřily na dobu kolem podezřelé chybné konfigurace.

3. Zúžte výběr na dotčený switch

Pokud se podezření soustředí na konkrétní zařízení, přidejte ho jako další filtr. Například zúžení hledání na switch v sídle firmy usnadní kontrolu pouze těch přístupů, které souvisejí s tímto aktivem.

Switch login investigation filtered to a specific device and time range in Logmanager
Obr. 2: Vyšetřování přihlášení ke switchi filtrované na konkrétní zařízení a časový rozsah v Logmanageru.

4. Zkontrolujte uživatelská jména

Přidejte pole username nebo na něj filtrujte přímo. Pokud výsledky ukazují pouze známého autorizovaného uživatele, je to silný indikátor, že incident byl pravděpodobně běžnou chybou, nikoliv škodlivým přístupem.

Username-based review of successful switch logins in Logmanager
Obr. 4: Kontrola úspěšných přihlášení ke switchi podle uživatelského jména v Logmanageru.

Pro více informací o integracích Logmanageru s výrobci switch zařízení navštivte naši dokumentaci.