Управление журналами

В журналах представлены сведения о том, какие операции выполнялись на аппарате, такие как дата и время выполнения операции, имя пользователя, тип операции, тип функции и результат выполнения операции. Дополнительные сведения о типах журналов см. в разделе Технические характеристики системы. Для управления журналами требуются полномочия администратора.
Если включен сбор журнала аудита и возникает ошибка на запоминающем устройстве, управляемом этой функцией, автоматически выполняется инициализация, а затем отображается экран с ошибкой.
Если вы можете получить журнал аудита за время до возникновения ошибки, щелкните [Download Audit Log], чтобы получить журнал, а затем нажмите [OK].
Если вы не можете получить журнал аудита за время до возникновения ошибки, щелкните [OK].
После завершения инициализации сбор журнала аудита возобновляется, и в журнал записывается процесс автоматической инициализации.

Запуск записи журналов

Ниже представлен порядок запуска записи журналов.
Запустите Remote UI (Удаленный ИП) [Settings/Registration] [Device Management] [Export/Clear Audit Log] [Audit Log Information] нажмите [Start] для функции [Audit Log Collection]
Если параметру <Потребление энергии в спящем режиме> задано значение <Low>, сбор журналов не производится, когда аппарат переходит в спящий режим.
При создании журнала сетевого подключения, журнала аутентификации почтового ящика, журнала операций с документами в почтовом ящике или журнала управления аппаратом нажмите [Device Management] [Save Audit Log] установите флажок [Save Audit Log] нажмите [OK] [Apply Setting Changes].
Если во время сбора журналов отключится питание аппарата из-за перебоя с электропитанием и т. п., после перезапуска аппарата сбор возобновится, начиная с журнала, который собирался до отключения питания.
Если остановить сбор журналов во время их сбора, при последующем запуске сбора журналов журналы за период, в который сбор был остановлен, не собираются.

Автоматический экспорт журналов

На аппарате можно настроить автоматический экспорт журналов аудита в указанную папку в предварительно указанное время каждый день, или когда число журналов аудита достигнет 95 % от максимального значения (приблизительно 38 000).
1
Запустите Remote UI (Удаленный ИП). Запуск Remote UI (Удаленный ИП)
2
На странице портала нажмите кнопку [Settings/Registration]. Экран Remote UI (Удаленный ИП)
3
Последовательно нажмите [Device Management] [Export/Clear Audit Log]  [Settings for Auto Export Audit Logs].
4
Установите флажок [Use Auto Export] и укажите требуемые параметры.
[User Name:] / [Password:]
Введите имя пользователя и пароль, необходимые для входа на сервер, на который экспортируются журналы.
[SMB Server Name:]
Введите имя сервера SMB для экспорта файлов журналов, а также путь, требующий аутентификации.
\\Имя хоста
\\IP-адрес\Имя общей папки
[Destination Folder Path:]
Введите путь для папки, в которой будут храниться файлы журналов.
[Perform At:]
Можно указать время, в которое будет выполняться экспорт.
5
Нажмите кнопку [Check Connection], чтобы подтвердить возможность подключения, а затем нажмите кнопку [Update].
Журналы аудита будут экспортироваться автоматически. Файлы имеют расширение csv.
После выполнения автоматического экспорта журналов аудита собранные журналы аудита автоматически удаляются. Журналы аудита нельзя удалить вручную.
После успешного выполнения автоматического экспорта и удаления журналов аудита каждый журнал генерируется снова. Если на момент следующего автоматического экспорта в журнале не будет зарегистрировано новых событий, автоматический экспорт журнала произведен не будет.
Также можно вручную выполнить экспорт файлов аудита в Remote UI (Удаленный ИП). Экспорт журнала в файл
В случае сбоя автоматического экспорта аппарат повторит попытку несколько раз. В случае хотя бы одного сбоя экспорта на панели управления аппарата отобразится сообщение об ошибке.
Укажите сервер SMB для Windows Server 2012 или более новой версии, Windows 8 или более новой версии.
Если аппарат выключен, экспорт не будет осуществлен даже в указанное время. Он также не будет осуществлен после включения аппарата.
Если аппарат находится в спящем режиме, он автоматически выходит из спящего режима и выполняет экспорт в указанное время.
Обратите внимание, что при использовании сервера, не поддерживающего зашифрованный обмен данными SMB 3.0/3.1, во время автоматического экспорта данные журналов аудита перемещаются в незашифрованном виде.
В зависимости от среды автоматический экспорт журналов может быть осуществлен позже указанного времени.
6
Следуйте выводимым на экран инструкциям, чтобы указать местоположение для сохранения файлов.
Файлы csv сохранены.

Экспорт журнала в файл

Различные журналы можно экспортировать и сохранять на компьютере в формате файлов CSV, которые затем можно открыть в редакторе файлов CSV или текстовом редакторе.
При экспорте журналов в файлы следует использовать протокол TLS или IPSec. Подробные сведения см. в руководстве по эксплуатации сервера Сервер imagePRESS.
Запустите Remote UI (Удаленный ИП)  [Settings/Registration]  [Device Management]  [Export/Clear Audit Log]  [Export Audit Logs]  [Export]  Следуйте инструкциям на экране, чтобы сохранить файл
Если необходимо, чтобы все журналы автоматически удалялись после экспорта, прежде чем нажать кнопку [Export], установите флажок [Delete logs from device after export]. Если вместо этого затем нажать кнопку [Cancel], экспорт будет отменен, а журналы будут удалены, даже если процедура экспорта в файлы не завершена.
Во время выполнения экспорта сбор журналов останавливается.

Удаление журналов

Можно удалить все сохраненные журналы.
Запустите Remote UI (Удаленный ИП)  [Settings/Registration]  [Device Management]  [Export/Clear Audit Log]  [Delete Audit Logs]  [Delete]  [Yes]
Если параметр [Settings for Auto Export Audit Logs] включен, нельзя вручную удалить журналы аудита.

Отправка журналов с помощью протокола Syslog

Сведения Syslog можно отправить в систему SIEM (систему управления информацией о безопасности и событиями). Подключение к системе SIEM обеспечивает централизованное управление различной информацией, которая анализируется на основе предупреждений, получаемых в режиме реального времени.
1
Запустите Remote UI (Удаленный ИП). Запуск Remote UI (Удаленный ИП)
2
На странице портала нажмите кнопку [Settings/Registration]. Экран Remote UI (Удаленный ИП)
3
Нажмите клавиши [Device Management]  [Export/Clear Audit Log]  [Syslog Settings].
4
Выберите [Use Syslog Send] и настройте требуемые параметры.
[Syslog Server Address:]
Укажите адрес сервера Syslog, к которому необходимо подключиться. Введите необходимую информацию, например IP-адрес и имя хоста в соответствии с вашей рабочей средой.
[Syslog Server Port Number:]
Введите номер порта, используемого сервером Syslog для связи с системным журналом (Syslog). Если оставить это поле пустым, будет использован номер порта, заданный в RFC (UDP: 514, TCP: 1468, TCP (TLS): 6514).
[Facility:]
Укажите тип отправляемых сообщений журнала. Выберите одну из следующих позиций. От [Local0] до [Local7], [Log Alert], [Log Audit], [Security Messages] или [LPR] в соответствии с определением в RFC.
[Connection Type:]
Укажите тип передачи данных ([UDP]/[TCP]).
[Use TLS]
Выберите этого параметр, чтобы шифровать информацию, отправляемую на сервер Syslog, с помощью протокола TLS.
Если для параметра [Connection Type:] выбрано значение [TCP], можно настроить использование TLS.
[Confirm TLS Certificate]/[Add CN to Verification Items]
Укажите, необходимо ли проверять сертификат сервера TLS, отправленный во время подключения, и его общее имя (CN).
5
Выберите команду [Update].
В некоторых журналах аудита после ошибки может наблюдаться незначительная задержка, поскольку передача на сервер Syslog происходит после опроса каждые 30 секунд.
Поддерживаются следующие RFC: 5424 (формат Syslog), 5425 (TLS) и 5426 (UDP).
AK19-0RL