管理日志

可以使用日志来检查或分析本机的使用情况。日志中记录了有关各项操作的各种信息,例如操作日期/时间、用户名、操作类型、功能类型和操作结果。有关日志类型的详细信息,请参阅系统规格。必须具有管理员权限才能管理日志。
若启用“审核日志收集”,当由该功能管理的存储区域出现错误时,将自动进行初始化,随后会显示错误屏幕。
如果在出现错误之前可以获取审核日志,可单击 [下载审核日志] 获取日志,然后单击 [确定]。
如果在出现错误之前无法获取审核日志,请单击 [确定]。
在完成初始化后,将继续启用“审核日志收集”,同时自动初始化程序将记录在日志中。

启动日志记录

遵循下列步骤开始记录日志。
启动“远程用户界面”[设置/注册][设备管理][导出/清除审核日志][审核日志信息]单击[启动]开启[审核日志收集]功能
当生成网络连接日志、存储箱认证日志、存储箱文档操作日志或本机管理日志时,单击[设备管理] [保存审核日志] 选中[保存审核日志]的复选框 单击[确定] [应用设置更改]。
在收集日志过程中若因断电等原因导致本机电源关闭,当重新启动机器时将再次从关机前收集的日志开始继续收集操作。
在收集日志过程中若停止日志收集操作,在执行下一次日志收集操作时将不会收集前一次停止收集的日志。

自动导出日志

可以将本机设置为在每日预定时间,或当审核日志数达到最大数的95%(约38,000)时,自动将审核日志导出至指定文件夹。
1
启动“远程用户界面”。启动远程用户界面
2
单击门户页面上的[设置/注册]。远程用户界面屏幕
3
单击[设备管理] [导出/清除审核日志]  [自动导出审核日志设置]。
4
选择[使用自动导出]复选框,然后指定所需的设置。
[用户名:] / [密码:]
输入登录至日志所导出到的服务器所需的用户名和密码。
[SMB服务器名称:]
输入要将日志文件导出到的SMB服务器主机名以及需要认证的路径。
\\主机名
\\IP地址\共享的文件夹名称
[目标文件夹路径:]
输入要在其中存储日志文件的文件夹路径。
[执行时间:]
可以指定执行导出的时间。
5
单击[检查连接]确认可以连接,然后单击[更新]。
审核日志现在可以自动导出。文件扩展名为“csv.”。
自动导出审核日志成功后,将删除收集的审核日志。审核日志无法手动删除。
成功自动导出和删除审核日志后,生成每个日志。如果下一个自动导出时间其它日志收集没有发生,则不会自动导出审核日志。
可以从“远程用户界面”手动导出审核日志。将日志作为文件导出
如果自动导出失败,本机将重试数次。如果自动导出仍失败,本机的控制面板上将显示错误信息。
指定Windows Server 2012或更高版本,或者Windows 8或更高版本的SMB服务器。
如果本机关闭,即使在指定时间,也不会执行导出。而且,当本机恢复时,也不会执行。
如果本机处于睡眠模式,将会在指定时间自动恢复并执行导出。
注意!如果使用的服务器不支持SMBv3.0加密通信,审核日志数据以未加密的状态穿过通信路径直至被自动导出。
视环境而定,执行自动导出日志的时间可能会晚于指定时间。
6
遵照屏幕上的说明指定文件的存储位置。
csv文件已经存储。

将日志作为文件导出

可以导出各种日志并在计算机上保存为CSV文件,这种文件可以用CSV文件编辑器或文本编辑器打开。
将日志作为文件导出时,请使用TLS或IPSec。 配置IPSec设置
启动“远程用户界面” [设置/注册]  [设备管理]  [导出/清除审核日志]  [导出审核日志]  [导出]  按照屏幕上的说明保存文件
如果要在导出所有日志后自动将其删除,选择[导出后从设备删除日志]复选框,然后单击[导出]。如果之后单击[取消],则即使日志未完成文件导出,也将取消导出并删除日志。
在执行导出程序过程中停止日志收集。

删除日志

可以删除所有收集的日志。
启动“远程用户界面” [设置/注册]  [设备管理]  [导出/清除审核日志]  [删除审核日志]  [删除]  [是]
如果启用[自动导出审核日志设置],则不能手动删除审核日志。

通过Syslog协议发送日志

系统日志信息可以发送到SIEM(安全信息/事件管理)系统。通过与SIEM系统相链接,可以集中管理从实时警报信息中分析的各种信息。
1
启动“远程用户界面”。启动远程用户界面
2
单击门户页面上的[设置/注册]。远程用户界面屏幕
3
单击[设备管理]  [导出/清除审核日志]  [Syslog设置]。
4
选择[使用Syslog发送],然后指定所需的设置。
[Syslog服务器地址:]
指定要连接的Syslog服务器地址。根据环境输入IP地址和主机名等必要信息。
[Syslog服务器端口号:]
输入Syslog服务器用于Syslog通信的端口号。如果留空,将使用 RFC 中定义的端口号 (UDP:514、TCP:1468、TCP (TLS):6514)。
[设备:]
指定待发送的日志消息类型。选择以下其中一项:[Local0]到[Local7]、[Log Alert]、[Log Audit]、[Security Messages]或RFC中定义的[LPR]。
[连接类型:]
指定通信类型([UDP]/[TCP])。
[使用TLS]
选择此选项,使用TLS加密与Syslog服务器通信的信息。
如果在[连接类型:]中选择了[TCP],可设置为使用TLS。
[确认TLS证书]/[添加CN到验证项目]
设置是否验证连接时发送的TLS服务器证书及其CN(通用名称)。
5
单击[更新]。
由于是在每隔30秒钟进行轮询后执行Syslog传输,因此在发生部分审核日志错误后可能出现轻微的时间延迟。
支持的RFC为5424(Syslog格式)、5425 (TLS)和5426 (UDP)。
6W1E-0AK