Управление журналами
В журналах представлены сведения о том, какие операции выполнялись на аппарате, такие как дата и время выполнения операции, имя пользователя, тип операции, тип функции и результат выполнения операции. Дополнительные сведения о типах журналов см. в разделе Технические характеристики системы. Для управления журналами требуются полномочия администратора.
|
Если включен сбор журнала аудита и возникает ошибка в области памяти, управляемой этой функцией, автоматически выполняется инициализация, а затем отображается экран с ошибкой. Если вы можете получить журнал аудита за время до возникновения ошибки, щелкните [Загрузить журнал аудита], чтобы получить журнал, а затем нажмите [OK]. Если вы не можете получить журнал аудита за время до возникновения ошибки, щелкните [OK]. После завершения инициализации сбор журнала аудита возобновляется, и в журнал записывается процесс автоматической инициализации. |
Запуск записи журналов
Ниже представлен порядок запуска записи журналов.
Запустите Remote UI (Удаленный ИП) 
[Параметры/Регистрация] [Управление устройством] [Экспорт/очистка журнала аудита] [Audit Log Information] нажмите [Пуск] для функции [Audit Log Collection]
[Параметры/Регистрация] [Управление устройством] [Экспорт/очистка журнала аудита] [Audit Log Information] нажмите [Пуск] для функции [Audit Log Collection] |
Если для параметра Потребление энергии в спящем режиме задано значение [Низкий], сбор журналов не производится, когда аппарат переходит в спящий режим. При создании журнала сетевого подключения, журнала аутентификации почтового ящика, журнала операций с документами в почтовом ящике или журнала управления аппаратом нажмите [Управление устройством] [Сохранить журнал аудита] установите флажок [Сохранить журнал аудита] нажмите [OK] [Применить изменения параметров].Если во время сбора журналов отключится питание аппарата из-за перебоя с электропитанием и т. п., после перезапуска аппарата сбор возобновится, начиная с журнала, который собирался до отключения питания. Если остановить сбор журналов во время их сбора, при последующем запуске сбора журналов журналы за период, в который сбор был остановлен, не собираются. |
Автоматический экспорт журналов
На аппарате можно настроить автоматический экспорт журналов аудита в указанную папку в предварительно указанное время каждый день, или когда число журналов аудита достигнет 95 % от максимального значения (приблизительно 38 000).
1
Запустите Remote UI (Удаленный ИП). Запуск Remote UI (Удаленный ИП)
2
На странице портала нажмите кнопку [Параметры/Регистрация]. Экран Remote UI (Удаленный ИП)
3
Нажмите [Управление устройством] [Экспорт/очистка журнала аудита] [Параметры автоматического экспорта журнала аудита].
[Экспорт/очистка журнала аудита] [Параметры автоматического экспорта журнала аудита].4
Установите флажок [Использовать автоматический экспорт] и укажите требуемые параметры.
[Имя пользователя:] / [Пароль:]Введите имя пользователя и пароль, необходимые для входа на сервер, на который экспортируются журналы.
[Имя сервера SMB:]Введите имя сервера SMB для экспорта файлов журналов, а также путь, требующий аутентификации.
\\Имя хоста
\\IP-адрес\Имя общей папки
[Путь к папке назначения:]Введите путь для папки, в которой будут храниться файлы журналов.
[Выполнить в:]Можно указать время, в которое будет выполняться экспорт.
5
Нажмите кнопку [Проверьте подключение], чтобы подтвердить возможность подключения, а затем нажмите кнопку [Обновить].
Журналы аудита будут экспортироваться автоматически. Файлы имеют расширение csv.
|
После выполнения автоматического экспорта журналов аудита собранные журналы аудита автоматически удаляются. Журналы аудита нельзя удалить вручную. После успешного выполнения автоматического экспорта и удаления журналов аудита каждый журнал генерируется снова. Если на момент следующего автоматического экспорта в журнале не будет зарегистрировано новых событий, автоматический экспорт журнала произведен не будет. Также можно вручную выполнить экспорт файлов аудита в Remote UI (Удаленный ИП). Экспорт журнала в файл В случае сбоя автоматического экспорта аппарат повторит попытку несколько раз. В случае хотя бы одного сбоя экспорта на панели управления аппарата отобразится сообщение об ошибке. Укажите сервер SMB для Windows Server 2012 или более новой версии, Windows 10 или более новой версии. Если аппарат выключен, экспорт не будет осуществлен даже в указанное время. Он также не будет осуществлен после включения аппарата. Если аппарат находится в спящем режиме, он автоматически выходит из спящего режима и выполняет экспорт в указанное время. Обратите внимание, что при использовании сервера, не поддерживающего зашифрованный обмен данными SMB 3.0/3.1, во время автоматического экспорта данные журналов аудита перемещаются в незашифрованном виде. В зависимости от среды автоматический экспорт журналов может быть осуществлен позже указанного времени. |
6
Следуйте выводимым на экран инструкциям, чтобы указать местоположение для сохранения файлов.
Файлы csv сохранены.
Экспорт журнала в файл
Различные журналы можно экспортировать и сохранять на компьютере в формате файлов CSV, которые затем можно открыть в редакторе файлов CSV или текстовом редакторе.
|
При экспорте журналов в файлы следует использовать протокол TLS или IPSec. Настройка параметров IPSec |
Запустите Remote UI (Удаленный ИП) [Параметры/Регистрация] [Управление устройством] [Экспорт/очистка журнала аудита] [Export Audit Logs] [Экспорт] Следуйте инструкциям на экране, чтобы сохранить файл
[Параметры/Регистрация] [Управление устройством] [Экспорт/очистка журнала аудита] [Export Audit Logs] [Экспорт] Следуйте инструкциям на экране, чтобы сохранить файлЕсли необходимо, чтобы все журналы автоматически удалялись после экспорта, прежде чем нажать кнопку [Экспорт], установите флажок [Delete logs from device after export]. Если вместо этого затем нажать кнопку [Отмена], экспорт будет отменен, а журналы будут удалены, даже если процедура экспорта в файлы не завершена.
Во время выполнения экспорта сбор журналов останавливается.
Удаление журналов
Можно удалить все сохраненные журналы.
Запустите Remote UI (Удаленный ИП) [Параметры/Регистрация] [Управление устройством] [Экспорт/очистка журнала аудита] [Delete Audit Logs] [Удалить] [Да]
[Параметры/Регистрация] [Управление устройством] [Экспорт/очистка журнала аудита] [Delete Audit Logs] [Удалить] [Да] |
Если параметр [Параметры автоматического экспорта журнала аудита] включен, нельзя вручную удалить журналы аудита. |
Отправка журналов с помощью протокола Syslog
Сведения Syslog можно отправить в систему SIEM (систему управления информацией о безопасности и событиями). Подключение к системе SIEM обеспечивает централизованное управление различной информацией, которая анализируется на основе предупреждений, получаемых в режиме реального времени.
1
Запустите Remote UI (Удаленный ИП). Запуск Remote UI (Удаленный ИП)
2
На странице портала нажмите кнопку [Параметры/Регистрация]. Экран Remote UI (Удаленный ИП)
3
Нажмите [Управление устройством] [Экспорт/очистка журнала аудита] [Параметры системного журнала].
[Экспорт/очистка журнала аудита] [Параметры системного журнала].4
Выберите [Использовать отправку системного журнала] и настройте требуемые параметры.
[Адрес сервера системного журнала:]Укажите адрес сервера Syslog, к которому необходимо подключиться. Введите необходимую информацию, например IP-адрес и имя хоста в соответствии с вашей рабочей средой.
[Номер порта сервера системного журнала:]Введите номер порта, используемого сервером Syslog для связи с системным журналом (Syslog). Если оставить это поле пустым, будет использован номер порта, заданный в RFC (UDP: 514, TCP: 1468, TCP (TLS): 6514).
[Объект:]Укажите тип отправляемых сообщений журнала. Выберите одну из следующих позиций. От [Local0] до [Local7], [Log Alert], [Log Audit], [Security Messages] или [LPR] в соответствии с определением в RFC.
[Тип соединения:]Укажите тип передачи данных ([UDP]/[TCP]).
[Использовать TLS]Выберите этого параметр, чтобы шифровать информацию, отправляемую на сервер Syslog, с помощью протокола TLS.
Если для параметра [Тип соединения:] выбрано значение [TCP], можно настроить использование TLS.
[Подтвердить сертификат TLS]/[Добавить CN к позициям для проверки]Укажите, необходимо ли проверять сертификат сервера TLS, отправленный во время подключения, и его общее имя (CN).
5
Выберите команду [Обнов.].
|
В некоторых журналах аудита после ошибки может наблюдаться незначительная задержка, поскольку передача на сервер Syslog происходит после опроса каждые 30 секунд. Поддерживаются следующие RFC: 5424 (формат Syslog), 5425 (TLS) и 5426 (UDP). |