Управление журналами
В журналах представлены сведения о том, какие операции выполнялись на аппарате, такие как дата и время выполнения операции, имя пользователя, тип операции, тип функции и результат выполнения операции. Дополнительные сведения о типах журналов см. в разделе
Технические характеристики системы. Для управления журналами требуются полномочия администратора.
|
Если включен сбор журнала аудита и возникает ошибка на запоминающем устройстве, управляемом этой функцией, автоматически выполняется инициализация, а затем отображается экран с ошибкой. Если вы можете получить журнал аудита за время до возникновения ошибки, щелкните [Download Audit Log], чтобы получить журнал, а затем нажмите [OK]. Если вы не можете получить журнал аудита за время до возникновения ошибки, щелкните [OK]. После завершения инициализации сбор журнала аудита возобновляется, и в журнал записывается процесс автоматической инициализации. |
Запуск записи журналов
Ниже представлен порядок запуска записи журналов.
Запустите Remote UI (Удаленный ИП)
[Settings/Registration]
[Device Management]
[Export/Clear Audit Log]
[Audit Log Information]
нажмите [Start] для функции [Audit Log Collection]
|
Если параметру <Потребление энергии в спящем режиме> задано значение <Low>, сбор журналов не производится, когда аппарат переходит в спящий режим. При создании журнала сетевого подключения, журнала аутентификации почтового ящика, журнала операций с документами в почтовом ящике или журнала управления аппаратом нажмите [Device Management] [Save Audit Log] установите флажок [Save Audit Log] нажмите [OK] [Apply Setting Changes]. Если во время сбора журналов отключится питание аппарата из-за перебоя с электропитанием и т. п., после перезапуска аппарата сбор возобновится, начиная с журнала, который собирался до отключения питания. Если остановить сбор журналов во время их сбора, при последующем запуске сбора журналов журналы за период, в который сбор был остановлен, не собираются. |
Автоматический экспорт журналов
На аппарате можно настроить автоматический экспорт журналов аудита в указанную папку в предварительно указанное время каждый день, или когда число журналов аудита достигнет 95 % от максимального значения (приблизительно 38 000).
1
Запустите Remote UI (Удаленный ИП).
Запуск Remote UI (Удаленный ИП)2
На странице портала нажмите кнопку [Settings/Registration].
Экран Remote UI (Удаленный ИП)3
Последовательно нажмите [Device Management]
[Export/Clear Audit Log]
[Settings for Auto Export Audit Logs].
4
Установите флажок [Use Auto Export] и укажите требуемые параметры.
[User Name:] / [Password:] Введите имя пользователя и пароль, необходимые для входа на сервер, на который экспортируются журналы.
[SMB Server Name:] Введите имя сервера SMB для экспорта файлов журналов, а также путь, требующий аутентификации.
\\Имя хоста
\\IP-адрес\Имя общей папки
[Destination Folder Path:] Введите путь для папки, в которой будут храниться файлы журналов.
[Perform At:] Можно указать время, в которое будет выполняться экспорт.
5
Нажмите кнопку [Check Connection], чтобы подтвердить возможность подключения, а затем нажмите кнопку [Update].
Журналы аудита будут экспортироваться автоматически. Файлы имеют расширение csv.
|
После выполнения автоматического экспорта журналов аудита собранные журналы аудита автоматически удаляются. Журналы аудита нельзя удалить вручную. После успешного выполнения автоматического экспорта и удаления журналов аудита каждый журнал генерируется снова. Если на момент следующего автоматического экспорта в журнале не будет зарегистрировано новых событий, автоматический экспорт журнала произведен не будет. В случае сбоя автоматического экспорта аппарат повторит попытку несколько раз. В случае хотя бы одного сбоя экспорта на панели управления аппарата отобразится сообщение об ошибке. Укажите сервер SMB для Windows Server 2012 или более новой версии, Windows 8 или более новой версии. Если аппарат выключен, экспорт не будет осуществлен даже в указанное время. Он также не будет осуществлен после включения аппарата. Если аппарат находится в спящем режиме, он автоматически выходит из спящего режима и выполняет экспорт в указанное время. Обратите внимание, что при использовании сервера, не поддерживающего зашифрованный обмен данными SMB 3.0/3.1, во время автоматического экспорта данные журналов аудита перемещаются в незашифрованном виде. В зависимости от среды автоматический экспорт журналов может быть осуществлен позже указанного времени. |
6
Следуйте выводимым на экран инструкциям, чтобы указать местоположение для сохранения файлов.
Файлы csv сохранены.
Экспорт журнала в файл
Различные журналы можно экспортировать и сохранять на компьютере в формате файлов CSV, которые затем можно открыть в редакторе файлов CSV или текстовом редакторе.
|
При экспорте журналов в файлы следует использовать протокол TLS или IPSec. Подробные сведения см. в руководстве по эксплуатации сервера Сервер imagePRESS. |
Запустите Remote UI (Удаленный ИП)
[Settings/Registration]
[Device Management]
[Export/Clear Audit Log]
[Export Audit Logs]
[Export]
Следуйте инструкциям на экране, чтобы сохранить файл
Если необходимо, чтобы все журналы автоматически удалялись после экспорта, прежде чем нажать кнопку [Export], установите флажок [Delete logs from device after export]. Если вместо этого затем нажать кнопку [Cancel], экспорт будет отменен, а журналы будут удалены, даже если процедура экспорта в файлы не завершена.
Во время выполнения экспорта сбор журналов останавливается.
Удаление журналов
Можно удалить все сохраненные журналы.
Запустите Remote UI (Удаленный ИП)
[Settings/Registration]
[Device Management]
[Export/Clear Audit Log]
[Delete Audit Logs]
[Delete]
[Yes]
|
Если параметр [Settings for Auto Export Audit Logs] включен, нельзя вручную удалить журналы аудита. |
Отправка журналов с помощью протокола Syslog
Сведения Syslog можно отправить в систему SIEM (систему управления информацией о безопасности и событиями). Подключение к системе SIEM обеспечивает централизованное управление различной информацией, которая анализируется на основе предупреждений, получаемых в режиме реального времени.
1
Запустите Remote UI (Удаленный ИП).
Запуск Remote UI (Удаленный ИП)2
На странице портала нажмите кнопку [Settings/Registration].
Экран Remote UI (Удаленный ИП)3
Нажмите клавиши [Device Management]
[Export/Clear Audit Log]
[Syslog Settings].
4
Выберите [Use Syslog Send] и настройте требуемые параметры.
[Syslog Server Address:] Укажите адрес сервера Syslog, к которому необходимо подключиться. Введите необходимую информацию, например IP-адрес и имя хоста в соответствии с вашей рабочей средой.
[Syslog Server Port Number:] Введите номер порта, используемого сервером Syslog для связи с системным журналом (Syslog). Если оставить это поле пустым, будет использован номер порта, заданный в RFC (UDP: 514, TCP: 1468, TCP (TLS): 6514).
[Facility:] Укажите тип отправляемых сообщений журнала. Выберите одну из следующих позиций. От [Local0] до [Local7], [Log Alert], [Log Audit], [Security Messages] или [LPR] в соответствии с определением в RFC.
[Connection Type:] Укажите тип передачи данных ([UDP]/[TCP]).
[Use TLS] Выберите этого параметр, чтобы шифровать информацию, отправляемую на сервер Syslog, с помощью протокола TLS.
Если для параметра [Connection Type:] выбрано значение [TCP], можно настроить использование TLS.
[Confirm TLS Certificate]/[Add CN to Verification Items] Укажите, необходимо ли проверять сертификат сервера TLS, отправленный во время подключения, и его общее имя (CN).
5
Выберите команду [Update].
|
В некоторых журналах аудита после ошибки может наблюдаться незначительная задержка, поскольку передача на сервер Syslog происходит после опроса каждые 30 секунд. Поддерживаются следующие RFC: 5424 (формат Syslog), 5425 (TLS) и 5426 (UDP). |
ССЫЛКИ