審計日誌搜索連接禁止IP地址

使用審計日誌審查和驗證連接嚐試您的工作區。

寫的John.Lourdu

去年發表在:2023年1月20日

IP訪問列表可以用來限製訪問磚基於已知的網絡位置。一旦啟用,IP訪問列表中需要使用允許的登錄地址。如果用戶試圖登錄任何IP地址而不是訪問列表,登錄被拒絕。檢查IP訪問列表文檔以了解更多的細節。

最佳實踐包括定期回顧IP訪問日誌,看看它們是否允許範圍以外的登錄嚐試。在您確定訪問嚐試由禁止IP地址,您可以按照適當的行動。例如,如果嚐試是由一個合法的使用,你可能想要訪問列表允許額外的IP範圍。如果不嚐試通過合法用戶,你可能想要回顧你的安全性配置文件。

指令

信息訪問嚐試存儲在磚審計日誌。您可以使用磚筆記本分析審計日誌和跟蹤活動執行的用戶。這個例子向您展示了如何在審計日誌搜索時候有人試圖登錄到您的工作區中禁止IP地址。

  1. 加載審計日誌DataFrame和注冊DataFrame作為臨時表。您將需要輸入S3< bucket名>和完整的< path-to-audit-logs >。檢查配置審計日誌交付文檔的更多信息。
    % scala val df = spark.read.format (json) .load (“s3a: / / < bucket名> / < path-to-audit-logs >”) df.createOrReplaceTempView (“audit_logs”)
  2. 根據日期範圍查詢審計日誌和賬戶,試圖從一個禁止IP地址訪問。你需要進入<要求上班日期><日期>日期範圍的搜索在運行示例代碼之前。
    %的sql選擇日期、eventTime orgId, sourceIPAddress, actionName, userAgent, get_json_object (rawMessage,“.response.statusCode美元”)StatusCode get_json_object (rawMessage, .response.errorMessage美元)從audit_logs errorMessage日期> = <要求上班日期> #日期yyyy-MM-dd格式和日期< = " <日期>”# yyyy-MM-dd格式的日期和名= "帳戶",eventTime actionName =“IpAccessDenied”秩序
  3. 結果顯示當一個用戶被拒絕訪問所有實例根據他們的IP地址。
  4. 根據結果采取適當的行動,你的用例。
刪除

信息

你可以修改這個搜索基於其他的樣本代碼actionName值的要求。





這篇文章有用嗎?