审核日志记录
建议更改
PDF
您可以使用审核日志来检测审核日志是否受到影响。系统会监控用户执行的所有活动,并将其记录在审核日志中。对 Active IQ Unified Manager 的所有用户界面和公开发布的 API` ' 功能执行审核。
您可以使用*审核日志:文件视图*查看和访问Active IQ Unified Manager 中可用的所有审核日志文件。审核日志:文件视图中的文件将根据其创建日期列出。此视图显示从安装或升级到系统中的现有时捕获的所有审核日志的信息。无论何时在 Unified Manager 中执行操作,此信息都会更新,并可在日志中查看。每个日志文件的状态均使用 "`File Integrity Status` " 属性捕获,该属性会受到主动监控,以检测日志文件的篡改或删除情况。如果审核日志在系统中可用,则审核日志可能具有以下状态之一:
| 状态 | 说明 |
|---|---|
活动 |
当前正在记录日志的文件。 |
正常 |
文件,该文件处于非活动状态,已进行压缩并存储在系统中。 |
已被篡改 |
手动编辑文件的用户已损坏的文件。 |
manual_delete |
已被授权用户删除的文件。 |
lover_delete |
由于根据滚动配置策略进行回滚而被删除的文件。 |
unexpected 删除 |
由于未知原因而被删除的文件。 |
审核日志页面包含以下命令按钮:
-
配置
-
删除
-
下载
使用 * 删除 * 按钮可以删除 " 审核日志 " 视图中列出的任何审核日志。您可以删除审核日志,也可以提供删除此文件的原因,以帮助将来确定有效的删除。原因列列出原因以及执行删除操作的用户的名称。
|
删除日志文件将从发生原因中删除系统中的文件,但不会删除数据库表中的条目。 |
您可以使用审核日志部分中的 * 下载 * 按钮从 Active IQ Unified Manager 下载审核日志,并导出审核日志文件。标记为"`正常`"或"`被篡改`"的文件将以压缩格式下载 .gzip。
审核日志文件会定期归档并保存到数据库中以供参考。在归档之前、审核日志会进行数字签名、以保持安全性和完整性。
生成完整的AutoSupport 包后、支持包将同时包含归档和活动的审核日志文件。但是,在生成轻型支持包时,它仅包含活动的审核日志。不包括归档的审核日志。