Il registro di audit non mostra eventi
Il registro di audit VaultPAM registra le attività rilevanti per la sicurezza tra sessioni, credenziali e azioni amministrative. Se il registro appare vuoto o non contiene gli eventi previsti, la causa è quasi sempre un problema di filtro o autorizzazione nell'interfaccia utente, non un'omissione nella cattura degli eventi. Seguire le cause elencate di seguito prima di escalare.
Sintomi
- La pagina Audit non mostra alcun evento o visualizza un messaggio "Nessun risultato trovato".
- Solo alcuni eventi sono visibili, ma gli eventi di sessione o amministrativi previsti sono assenti.
- Il registro mostra eventi di alcuni periodi di tempo ma non di altri.
- Una pipeline SIEM o di esportazione dei log mostra meno eventi del previsto.
Cause
1. Filtro dell'intervallo di tempo errato
La visualizzazione del registro di audit utilizza per impostazione predefinita una finestra temporale specifica (ad esempio le ultime 24 ore). Se gli eventi che si stanno cercando si sono verificati al di fuori della finestra del filtro corrente, non appariranno.
Verificare: Aprire Audit → Events e controllare il filtro Time range. Confermare che copre il periodo di tempo in cui gli eventi dovrebbero essersi verificati.
Soluzione: Espandere il filtro dell'intervallo di tempo per coprire il periodo di interesse. Utilizzare Custom range se le finestre preimpostate non risalgono abbastanza indietro.
2. L'utente non dispone dell'autorizzazione per visualizzare il registro di audit
L'accesso al registro di audit è un'autorizzazione separata dall'accesso amministrativo generale. Un utente con un ruolo di amministratore potrebbe comunque non disporre dell'autorizzazione View audit log se non è stata concessa esplicitamente.
Verificare: Aprire Profile → My Access e confermare che il proprio ruolo includa View audit log. Se non è possibile visualizzare affatto il menu Audit, non si dispone di questa autorizzazione.
Soluzione: Chiedere a un amministratore VaultPAM di concedere al proprio ruolo l'autorizzazione View audit log tramite Organization → Access → Roles → Edit role. La modifica dell'autorizzazione ha effetto immediato.
3. Eventi filtrati per tipo
Il registro di audit include un filtro per la categoria di evento (ad esempio Session, Credential, Admin, Authentication). Se una o più categorie sono deselezionate, i loro eventi non appariranno nella visualizzazione corrente.
Verificare: Aprire Audit → Events e controllare il filtro Event type. Confermare che tutte le categorie rilevanti siano selezionate (o che il filtro sia impostato su All).
Soluzione: Selezionare All nel filtro del tipo di evento oppure abilitare manualmente le categorie necessarie. Il filtro non influisce su ciò che viene registrato, solo su ciò che viene visualizzato nella visualizzazione corrente.
4. Ritardo di inoltro SIEM
Se l'organizzazione inoltra gli eventi di audit a un SIEM (ad esempio Splunk, Elastic o un collector syslog), vi è un ritardo di propagazione intrinseco tra il momento in cui un evento viene registrato in VaultPAM e quando appare nel SIEM. Durante periodi di elevato volume di eventi o interruzione della connettività, questo ritardo può estendersi da secondi a diversi minuti.
Verificare: Confrontare l'evento visibile nell'interfaccia utente del registro di audit VaultPAM con ciò che il SIEM mostra per lo stesso intervallo di tempo. Se l'interfaccia utente VaultPAM mostra l'evento ma il SIEM no, il ritardo è nella pipeline di inoltro, non nel record di audit VaultPAM stesso.
Soluzione: Attendere che il ritardo di inoltro passi e aggiornare la query SIEM. Se il ritardo supera l'SLA previsto, chiedere a un operatore di controllare lo stato del connettore SIEM nelle impostazioni di integrazione VaultPAM e verificare la connettività tra VaultPAM e l'endpoint SIEM.
Passaggi di risoluzione
- Aprire Audit → Events e confermare che il filtro Time range copra il periodo in cui si prevede di trovare gli eventi. Espanderlo a Custom range se necessario.
- Confermare che il filtro Event type includa la categoria di evento che si sta cercando. Selezionare All per rimuovere il filtro del tipo.
- Verificare che il proprio ruolo includa l'autorizzazione View audit log tramite Profile → My Access. Se no, contattare un amministratore VaultPAM.
- Se gli eventi sono visibili nell'interfaccia utente VaultPAM ma assenti dal SIEM, attendere il ritardo di inoltro e aggiornare. Se il ritardo è persistente, chiedere a un operatore di controllare l'integrità dell'integrazione SIEM.
- Dopo aver regolato i filtri, aggiornare la pagina del registro di audit e verificare di nuovo.
Percorso di escalation
Se il registro di audit continua a non mostrare alcun evento dopo aver verificato filtri e autorizzazioni:
- Annotare l'intervallo di tempo esatto, i tipi di evento e l'utente o la risorsa coinvolti.
- Confermare se gli eventi appaiono nel registro dell'interfaccia utente VaultPAM (prima dell'inoltro SIEM). Questo è il record definitivo.
- Aprire un ticket di supporto con: l'intervallo di tempo cercato, i tipi di evento e i filtri applicati, il ruolo e il livello di autorizzazione, e se il registro dell'interfaccia utente VaultPAM non mostra alcun evento.