AIQUMの監査ログを改ざんしたユーザを特定することは可能ですか。
環境
Active IQ Unified Manager - AIQUM
回答
- データベースに記録された変更に基づいてアラートがトリガーされないため、実行できません。
- AIQUMは監査ログをMySQLデータベースに保存し、ログファイルに基づいてシグネチャを生成します。
- AIQUMは、現在のシグネチャ結果を定期的に保存済みのシグネチャ結果と比較します。
- 不一致があるとアラートがトリガーされます。
Audit log File audit.<DATETIME>.gz got tampered