Gestione dei registri

Si possono utilizzare i registri per controllare o analizzare in che modo la macchina viene utilizzata. Nei registri possono essere indicate molteplici informazioni su ogni operazione, come la data/ora delle operazioni, il nome utente, il tipo di operazione, il tipo di funzione e il risultato delle operazioni. Per ottenere informazioni sui tipi di registro, vedere Specifiche di sistema. Per gestire i registri sono necessari i privilegi di amministratore.
Se si attiva la raccolta dei registri di audit e si verifica un errore nella periferica di memorizzazione gestita da questa funzione, viene eseguita automaticamente l'inizializzazione e si apre una schermata di errore.
Se è possibile ottenere il registro di audit prima che si verifichi l'errore, fare clic su [Scarica registro di controllo] per ottenere il registro, quindi su [OK].
Se non è possibile ottenere il registro di audit prima che si verifichi l'errore, fare clic su [OK].
Al termine dell'inizializzazione, la raccolta dei registri di audit viene ripresa e il processo di inizializzazione automatico registrato.

Avvio registrazione nei registri

Seguire la procedura sottostante per avviare la registrazione dei registri.
Avviare la IU remota  [Impostazioni/Registrazione]  [Gestione periferiche]  [Esportazione/Azzeramento registro di controllo]  [Informazioni registro di controllo]  Fare clic su [Avvio] per [Raccolta registri di controllo]
Se Consumo nel modo Riposo è impostato su [Alto], i registri non vengono acquisiti quando la macchina entra nel modo Riposo.
Quando si genera un registro connessioni di rete, un registro autenticazione mailbox, un registro operazioni documento in casella di posta o un registro gestione macchina, fare clic su [Gestione periferiche] [Salvataggio registro di controllo] selezionare la casella corrispondente a [Salvataggio registro di controllo] fare clic su [OK] [Applicazione variazioni impostazioni].
Quando si genera un registro delle operazioni Area di condivisione, fare clic su [Impostazioni funzione]  [Memorizzazione/Accesso a file]  [Impostazioni Area di condivisione]  [Impostazione dettagli] selezionare la casella di controllo per [Salvataggio registro operazioni] fare clic su [OK] [Applicazione variazioni impostazioni].
Se si spegne la macchina durante la raccolta dei registri a causa di un'interruzione di corrente, ecc., la raccolta riprende al riavvio della macchina, dal registro raccolto prima dello spegnimento.
Se si interrompe la raccolta dei registri durante la raccolta, i registri del periodo in cui è stata arrestata la raccolta non vengono raccolti al successivo riavvio.

Esportazione automatica dei registri

È possibile impostare la macchina in modo da esportare automaticamente i registri di audit in una cartella specificata a un'ora predeterminata del giorno, oppure quando il numero di registri di audit raggiunge il 95% del numero massimo (circa 38.000).
1
Avviare la IU remota.Avvio della IU remota
2
Fare clic su [Impostazioni/Registrazione] nella pagina del portale. Schermata IU remota
3
Fare clic su [Gestione periferiche] [Esportazione/Azzeramento registro di controllo]  [Impostazioni per esportazione automatica registri di controllo].
4
Selezionare la casella di controllo per [Utilizzo esportazione automatica] e specificare le impostazioni necessarie.
[Nome utente:] / [Password:]
Immettere il nome utente e la password richiesti per l'accesso al server in cui vengono esportati i registri.
[Nome server SMB:]
Immettere il nome host del server SMB in cui esportare i file di registro, insieme al percorso che richiede l'autenticazione.
\\Nome host
\\Indirizzo IP\Nome cartella condivisa
[Percorso cartella destinazione:]
Immettere il percorso della cartella in cui memorizzare i file di registro.
[Esecuzione alle:]
È possibile specificare l'ora in cui eseguire l'esportazione.
5
Fare clic su [Controllo connessione], verificare che sia possibile connettersi e quindi fare clic su [Aggior].
I registri di audit vengono ora esportati automaticamente. L'estensione del file è "csv".
Al termine dell'esportazione automatica dei registri di audit, i registri raccolti vengono eliminati automaticamente. Non è possibile eliminare manualmente i registri di audit.
In seguito all'esportazione e all'eliminazione automatica dei registri di verifica, vengono generati i vari registri. Se non si verificano altre raccolte di registri entro la successiva esportazione automatica, il registro di verifica non verrà esportato automaticamente.
È inoltre possibile esportare manualmente i registri di audit dalla IU remota. Esportazione di un registro come file
Se l'esportazione automatica non riesce, la macchina riprova più volte. Sul pannello di controllo della macchina viene visualizzato un messaggio di errore se l'esportazione automatica non riesce anche una sola volta.
Specificare un server SMB per Windows Server 2012 o versioni successive o Windows 8 o versioni successive.
Se la macchina è spenta, l'esportazione non viene eseguita, nemmeno all'ora specificata. Inoltre, non verrà neppure eseguita all'accensione della macchina.
La macchina, se è in modalità di riposo, si riattiva ed esegue l'esportazione all'ora specificata.
Tenere presente che, se si utilizza un server che non supporta la comunicazione crittografata SMB 3.0/3.1, i dati dei registri di audit circolano senza crittografia tra i vari percorsi di comunicazione mentre vengono ottenuti.
In base all'ambiente, l'esportazione automatica dei registri può essere eseguita a un'ora successiva a quella specificata.
6
Seguire le istruzioni sullo schermo per specificare il percorso di salvataggio dei file.
I file csv vengono salvati.

Esportazione di un registro come file

È possibile esportare i diversi registri e salvarli su un computer come file CSV, che possono essere aperti con un editor di file CSV o un editor di testo.
Quando i registri vengono esportati come file, utilizzare TLS o IPSec. Configurazione delle impostazioni IPSec
Avviare la IU remota  [Impostazioni/Registrazione]  [Gestione periferiche]  [Esportazione/Azzeramento registro di controllo]  [Esporta registri di controllo]  [Esportazione]  Seguire le istruzioni su schermo per salvare il file
Se si desidera eliminare automaticamente tutti i registri dopo averli esportati, selezionare la casella di controllo per [Elimina registri dalla periferica dopo l'esportazione] prima di fare clic su [Esportazione]. Se in seguito si fa clic su [Annulla], l'esportazione viene annullata e i registri eliminati anche se non è stata completata la relativa esportazione come file.
La raccolta dei registri viene interrotta durante l'esecuzione del processo di esportazione.

Eliminazione dei registri

È possibile eliminare tutti i registri raccolti.
Avviare la IU remota [Impostazioni/Registrazione]  [Gestione periferiche]  [Esportazione/Azzeramento registro di controllo]  [Elimina registri di controllo]  [Elimina]  [Sì]
Se è attivato [Impostazioni per esportazione automatica registri di controllo], non è possibile eliminare manualmente i registri di audit.

Invio di registri con il protocollo Syslog

È possibile inviare le informazioni Syslog a un sistema SIEM (Security Information/Event Management). Il collegamento a un sistema SIEM consente di gestire in modo centralizzato varie informazioni analizzate da informazioni di avviso in tempo reale.
1
Avviare la IU remota.Avvio della IU remota
2
Fare clic su [Impostazioni/Registrazione] nella pagina del portale. Schermata IU remota
3
Fare clic su [Gestione periferiche]  [Esportazione/Azzeramento registro di controllo]  [Impostazioni Syslog].
4
Selezionare [Usa invio Syslog] e specificare le informazioni necessarie.
[Indirizzo server Syslog:]
Specificare l'indirizzo del server Syslog al quale connettersi. Immettere le informazioni necessarie, come l'indirizzo IP e il nome host, a seconda dell'ambiente.
[Numero porta server Syslog:]
Immettere il numero di porta utilizzato dal server Syslog per la comunicazione Syslog. Se questo campo viene lasciato vuoto, viene utilizzato il numero di porta definito in RFC (UDP: 514, TCP: 1468, TCP (TLS): 6514).
[Struttura:]
Specificare il tipo di messaggi di registro da inviare. Selezionarne uno tra i seguenti: da [Local0] a [Local7], [Log Alert], [Log Audit], [Security Messages] o [LPR] definito in RFC.
[Tipo di connessione:]
Specificare il tipo di comunicazione ([UDP]/[TCP]).
[Usa TLS]
Selezionare questa opzione per utilizzare TLS per crittografare le informazioni comunicate attraverso il server Syslog.
Quando si seleziona [TCP] in [Tipo di connessione:], è possibile impostare l'uso di TLS.
[Conferma certificato TLS]/[Aggiungi CN agli elementi di verifica]
Scegliere se verificare il certificato del server TLS inviato durante la connessione e il relativo CN (Common Name).
5
Fare clic su [Aggiorna].
Per alcuni registri di audit, dopo l'errore si verifica un leggero ritardo perché la trasmissione Syslog viene eseguita dopo il polling ogni 30 secondi.
Le RFC supportate sono 5424 (formato Syslog), 5425 (TLS) e 5426 (UDP).
7A91-0JC