审核日志记录
建议更改
PDF
您可以使用审计日志检测审计日志是否已被泄露。用户执行的所有活动都受到监控并记录在审计日志中。审核针对Active IQ Unified Manager的所有用户界面和公开的 API 功能进行。
您可以使用*审计日志:文件视图*来查看和访问Active IQ Unified Manager中可用的所有审计日志文件。审计日志:文件视图中的文件根据其创建日期列出。此视图显示从安装或升级到系统中现在捕获的所有审计日志的信息。每当您在 Unified Manager 中执行操作时,信息都会更新并可在日志中获取。使用“文件完整性状态”属性捕获每个日志文件的状态,该属性受到主动监控以检测日志文件的篡改或删除。当系统中有审计日志时,审计日志可以具有以下状态之一:
| 状态 | 描述 |
|---|---|
积极的 |
当前正在记录日志的文件。 |
正常 |
系统中处于非活动状态、压缩并存储的文件。 |
被篡改 |
该文件已被手动编辑过的用户破坏。 |
手动删除 |
已被授权用户删除的文件。 |
滚动删除 |
根据滚动配置策略,由于滚动而被删除的文件。 |
意外删除 |
由于未知原因而被删除的文件。 |
审计日志页面包括以下命令按钮:
-
配置
-
删除
-
下载
使用 DELETE 按钮可以删除审计日志视图中列出的任何审计日志。您可以删除审计日志,并可选择提供删除文件的原因,这有助于将来确定有效的删除。 REASON 列列出了原因以及执行删除操作的用户的姓名。
|
删除日志文件将导致文件从系统中删除,但数据库表中的条目不会被删除。 |
您可以使用审计日志部分中的 DOWNLOAD 按钮从Active IQ Unified Manager下载审计日志并导出审计日志文件。标记为“正常”或“篡改”的文件以压缩文件形式下载 `.gzip`格式。
审计日志文件定期归档并保存到数据库以供参考。存档之前,审计日志经过数字签名以维护安全性和完整性。
生成完整的AutoSupport包时,支持包将包括存档和活动审计日志文件。但是,当生成轻量级支持包时,它仅包含活动审计日志。不包括存档的审计日志。