Управление журналами

В журналах представлены сведения о том, какие операции выполнялись на аппарате, такие как дата и время выполнения операции, имя пользователя, тип операции, тип функции и результат выполнения операции. Дополнительные сведения о типах журналов см. в разделе Технические характеристики системы. Для управления журналами требуются полномочия администратора.
Если включен сбор журнала аудита и возникает ошибка на запоминающем устройстве, управляемом этой функцией, автоматически выполняется инициализация, а затем отображается экран с ошибкой.
Если вы можете получить журнал аудита за время до возникновения ошибки, щелкните [Download Audit Log], чтобы получить журнал, а затем нажмите [OK].
Если вы не можете получить журнал аудита за время до возникновения ошибки, щелкните [OK].
После завершения инициализации сбор журнала аудита возобновляется, и в журнал записывается процесс автоматической инициализации.

Запуск записи журналов

Ниже представлен порядок запуска записи журналов.
Запустите Remote UI (Удаленный ИП)  [Settings/Registration]  [Device Management]  [Export/Clear Audit Log]  [Audit Log Information]  Нажмите [Start] для функции [Audit Log Collection]
Если для параметра Потребление энергии в спящем режиме задано значение [Low], сбор журналов не производится, когда аппарат переходит в спящий режим.
При создании журнала сетевого подключения, журнала аутентификации почтового ящика, журнала операций с документами в почтовом ящике или журнала управления аппаратом нажмите [Device Management] [Save Audit Log] установите флажок [Save Audit Log] нажмите [OK] [Apply Setting Changes].
При создании журнала операций для Супер-ячейка щелкните [Function Settings]  [Store/Access Files]  [Advanced Space Settings]  [Set Details] установите флажок для [Save Operation Log] щелкните [OK][Apply Setting Changes].
Если во время сбора журналов отключится питание аппарата из-за перебоя с электропитанием и т. п., после перезапуска аппарата сбор возобновится, начиная с журнала, который собирался до отключения питания.
Если остановить сбор журналов во время их сбора, при последующем запуске сбора журналов журналы за период, в который сбор был остановлен, не собираются.

Автоматический экспорт журналов

На аппарате можно настроить автоматический экспорт журналов аудита в указанную папку в предварительно указанное время каждый день, или когда число журналов аудита достигнет 95 % от максимального значения (приблизительно 38 000).
1
Запустите Remote UI (Удаленный ИП). Запуск Remote UI (Удаленный ИП)
2
На странице портала нажмите кнопку [Settings/Registration]. Экран Remote UI (Удаленный ИП)
3
Последовательно нажмите [Device Management] [Export/Clear Audit Log]  [Settings for Auto Export Audit Logs].
4
Установите флажок [Use Auto Export] и укажите требуемые параметры.
[User Name:] / [Password:]
Введите имя пользователя и пароль, необходимые для входа на сервер, на который экспортируются журналы.
[SMB Server Name:]
Введите имя сервера SMB для экспорта файлов журналов, а также путь, требующий аутентификации.
\\Имя хоста
\\IP-адрес\Имя общей папки
[Destination Folder Path:]
Введите путь для папки, в которой будут храниться файлы журналов.
[Perform At:]
Можно указать время, в которое будет выполняться экспорт.
5
Нажмите кнопку [Check Connection], чтобы подтвердить возможность подключения, а затем нажмите кнопку [Update].
Журналы аудита будут экспортироваться автоматически. Файлы имеют расширение csv.
После выполнения автоматического экспорта журналов аудита собранные журналы аудита автоматически удаляются. Журналы аудита нельзя удалить вручную.
После успешного выполнения автоматического экспорта и удаления журналов аудита каждый журнал генерируется снова. Если на момент следующего автоматического экспорта в журнале не будет зарегистрировано новых событий, автоматический экспорт журнала произведен не будет.
Также можно вручную выполнить экспорт файлов аудита в Remote UI (Удаленный ИП). Экспорт журнала в файл
В случае сбоя автоматического экспорта аппарат повторит попытку несколько раз. В случае хотя бы одного сбоя экспорта на панели управления аппарата отобразится сообщение об ошибке.
Укажите сервер SMB для Windows Server 2016 или более новой версии, Windows 10 или более новой версии.
Если аппарат выключен, экспорт не будет осуществлен даже в указанное время. Он также не будет осуществлен после включения аппарата.
Если аппарат находится в спящем режиме, он автоматически выходит из спящего режима и выполняет экспорт в указанное время.
Обратите внимание, что при использовании сервера, не поддерживающего зашифрованный обмен данными SMB 3.0/3.1, во время автоматического экспорта данные журналов аудита перемещаются в незашифрованном виде.
В зависимости от среды автоматический экспорт журналов может быть осуществлен позже указанного времени.
6
Следуйте выводимым на экран инструкциям, чтобы указать местоположение для сохранения файлов.
Файлы csv сохранены.

Экспорт журнала в файл

Различные журналы можно экспортировать и сохранять на компьютере в формате файлов CSV, которые затем можно открыть в редакторе файлов CSV или текстовом редакторе.
При экспорте журналов в файлы следует использовать протокол TLS или IPSec. Настройка параметров IPSec
Запустите Remote UI (Удаленный ИП)  [Settings/Registration]  [Device Management]  [Export/Clear Audit Log]  [Export Audit Logs]  [Export]  Следуйте инструкциям на экране, чтобы сохранить файл
Если необходимо, чтобы все журналы автоматически удалялись после экспорта, прежде чем нажать кнопку [Export], установите флажок [Delete logs from device after export]. Если вместо этого затем нажать кнопку [Cancel], экспорт будет отменен, а журналы будут удалены, даже если процедура экспорта в файлы не завершена.
Во время выполнения экспорта сбор журналов останавливается.

Удаление журналов

Можно удалить все сохраненные журналы.
Запустите Remote UI (Удаленный ИП)  [Settings/Registration]  [Device Management]  [Export/Clear Audit Log]  [Delete Audit Logs]  [Delete]  [Yes]
Если параметр [Settings for Auto Export Audit Logs] включен, нельзя вручную удалить журналы аудита.

Отправка журналов с помощью протокола Syslog

Сведения Syslog можно отправить в систему SIEM (систему управления информацией о безопасности и событиями). Подключение к системе SIEM обеспечивает централизованное управление различной информацией, которая анализируется на основе предупреждений, получаемых в режиме реального времени.
1
Запустите Remote UI (Удаленный ИП). Запуск Remote UI (Удаленный ИП)
2
На странице портала нажмите кнопку [Settings/Registration]. Экран Remote UI (Удаленный ИП)
3
Последовательно нажмите [Device Management]  [Export/Clear Audit Log]  [Syslog Settings].
4
Выберите [Use Syslog Send] и настройте требуемые параметры.
[Syslog Server Address:]
Укажите адрес сервера Syslog, к которому необходимо подключиться. Введите необходимую информацию, например IP-адрес и имя хоста в соответствии с вашей рабочей средой.
[Syslog Server Port Number:]
Введите номер порта, используемого сервером Syslog для связи с системным журналом (Syslog). Если оставить это поле пустым, будет использован номер порта, заданный в RFC (UDP: 514, TCP: 1468, TCP (TLS): 6514).
[Facility:]
Укажите тип отправляемых сообщений журнала. Выберите одну из следующих позиций. От [Local0] до [Local7], [Log Alert], [Log Audit], [Security Messages] или [LPR] в соответствии с определением в RFC.
[Connection Type:]
Укажите тип передачи данных ([UDP]/[TCP]).
[Use TLS]
Выберите этого параметр, чтобы шифровать информацию, отправляемую на сервер Syslog, с помощью протокола TLS.
Если для параметра [Connection Type:] выбрано значение [TCP], можно настроить использование TLS.
[Confirm TLS Certificate]/[Add CN to Verification Items]
Укажите, необходимо ли проверять сертификат сервера TLS, отправленный во время подключения, и его общее имя (CN).
5
Выберите команду [Update].
В некоторых журналах аудита после ошибки может наблюдаться незначительная задержка, поскольку передача на сервер Syslog происходит после опроса каждые 30 секунд.
Поддерживаются следующие RFC: 5424 (формат Syslog), 5425 (TLS) и 5426 (UDP).
AK5K-0JC