SAT (Security Audit Trail) unterstützt die Protokollierung sicherheitsrelevanter Ereignisse in eine geschützte SAT-Protokolldatei (SATLOG-Datei). Die SATLOG-Datei, erzeugt vom Subsystem SATCP, kann mit Hilfe des Auswerters SATUT analysiert werden, indem sinnvoll aufbereitete SAT-Protokolldateien und/oder Ergebnislisten erzeugt werden.
Ziele der Protokollierung von Ereignissen
Überblick über Zugriffe auf Objekte, Rückblick auf spezielle Verarbeitungsschritte und Aktionen bestimmter Benutzerkennungen, Gebrauch von Sicherheitsfunktionen
Entdecken von unerlaubtem Eindringen in das System und (fremden) Anwendern, die Sicherheitsfunktionen umgangen haben
Aufdecken bzw. Unterbinden des Gebrauchs von Rechten, die einem Benutzer nicht zugestanden sind
Abschrecken vor dem Versuch, die Sicherheitsfunktionen zu umgehen
Finden des Verursachers bei einem Verstoß gegen die Sicherheitsvorkehrungen, um so den Schaden gering zu halten
Sofortiges Reagieren auf unerlaubte Systemeingriffe (Alarmfunktion)
Protokollierbare Ereignisse
Benutzung von Identifikations- und Authentisierungsmechanismen
Zugriff auf Objekte (z.B. Eröffnen von Dateien, Programmstart)
Anlegen und Löschen von Objekten
Aktionen des Sicherheitsbeauftragten, der Systembedienung sowie der Systemverwaltung, die sicherheitsrelevant sind
Protokollierte Daten
Datum und Uhrzeit des Ereignisses
eindeutige Identifikation des Ausführenden, bei Benutzung der Chipkarte auch die Chipkarten-Identifikation, bzw. die persönliche Benutzerkennung
Erfolgs- oder Fehlerfall bei der Bearbeitung eines Verarbeitungsschrittes
Name des bearbeiteten Objekts
Beschreibung der Modifikation, die bei der Benutzerverwaltung oder im Rahmen der Systemsicherheit durchgeführt wurde
Die CONSLOG-Dateien des Systems können Ereignisse enthalten, die im SAT-Protokoll fehlen, z.B. Operator-Antworten auf Fragen oder Eingaben im BS2000-Startup bei noch inaktivem SAT. Deshalb können CONSLOG-Dateien in die Auswertung des SAT-Protokolls eingeschlossen werden.