Керування журналами

За допомогою журналів можна перевірити або проаналізувати спосіб використання апарата. У журналах записуються різні відомості про кожну операцію, як-от дата і час виконання операції, ім’я користувача, тип операції, тип функції та результат операції. Докладніше про типи журналів див. в розділі Характеристики системи. Для керування журналами потрібні права адміністратора.
Якщо ввімкнуто функцію збирання журналів аудиту та стається помилка в області пам’яті, якою керує ця функція, ініціалізація виконується автоматично, а потім з’являється екран помилки.
Якщо можна отримати журнал аудиту за час, до якого сталася помилка, клацніть [Download Audit Log], щоб отримати журнал і натисніть кнопку [OK].
Якщо неможливо отримати журнал аудиту за цей час, натисніть кнопку [OK].
Після завершення ініціалізації збирання журналів аудиту поновлюється й у журнал записується процес автоматичної ініціалізації.

Запуск записування журналів

Виконайте описану нижче процедуру, щоб розпочати записування журналів.
Запустіть інтерфейс віддаленого користувача  [Settings/Registration]  [Device Management]  [Export/Clear Audit Log]  [Audit Log Information]  клацніть [Start] для функції [Audit Log Collection]
Якщо для параметра «Енергоспоживання в режимі сну» установлено значення [Low], журнали не збираються, коли апарат переходить у режим сну.
Під час створення журналу підключення до мережі, журналу автентифікації поштової скриньки, журналу операцій із документами поштової скриньки або журналу керування апаратом клацніть [Device Management] [Save Audit Log] установіть прапорець для параметра [Save Audit Log] натисніть [OK] [Apply Setting Changes].
Якщо живлення апарату вимкнеться під час збирання журналів через збої живлення тощо, процес збирання поновиться після перезапуску апарата з журналу, збирання якого виконувалося перед вимкненням живлення.
Якщо зупинити збирання журналів безпосередньо під час цього процесу, то коли почнеться наступний процес збирання, журнали за період, у який збирання було зупинено, не будуть зібрані.

Автоматичний експорт журналів

На апараті можна налаштувати автоматичний експорт журналів аудиту до вказаної папки в попередньо визначений час щодня або коли кількість журналів аудиту досягне 95% від максимальної кількості (приблизно 38 000).
1
Запустіть Remote UI (Інтерфейс віддаленого користувача). Запуск інтерфейсу віддаленого користувача
2
Клацніть елемент [Settings/Registration] на сторінці порталу. Екран інтерфейс віддаленого користувача
3
Клацніть [Device Management] [Export/Clear Audit Log]  [Settings for Auto Export Audit Logs].
4
Установіть прапорець для параметра [Use Auto Export] і вкажіть необхідні параметри.
[User Name:] / [Password:]
Введіть ім’я користувача та пароль, необхідні для входу на сервер, на який експортуються журнали.
[SMB Server Name:]
Введіть ім’я хоста сервера SMB, на який слід експортувати файли журналу, а також шлях, який потребує автентифікації.
\\Ім’я хоста
\\IP-адреса\Ім’я спільної папки
[Destination Folder Path:]
Введіть шлях для папки, у якій потрібно зберігати файли журналу.
[Perform At:]
Ви можете вказати час виконання експорту.
5
Клацніть [Check Connection], щоб переконатись, що ви можете підключитися, а потім клацніть [Update].
Тепер журнали аудиту експортуватимуться автоматично. Розширення файлів – CSV.
Після автоматичного експорту журналів аудиту зібрані журнали аудиту автоматично видаляються. Журнали аудиту неможливо видалити вручну.
Після автоматичного експорту та видалення журналів аудиту кожен журнал буде повторно створено. Якщо інша операція збирання журналів не розпочинається у вказаний час наступного автоматичного експорту, журнал аудиту не буде автоматично експортовано.
Журнали аудиту можна також експортувати вручну з Remote UI (Інтерфейс віддаленого користувача). Експорт журналу як файлу
Якщо операцію автоматичного експорту виконати не вдалося, апарат спробує кілька разів повторити її. На панелі керування апарату з’явиться повідомлення про помилку, якщо операцію автоматичного експорту не вдалося виконати навіть один раз.
Укажіть SMB-сервер для Windows Server 2012 або новішої версії чи Windows 10 або новішої версії.
Якщо апарат вимкнуто, експорт не виконуватиметься навіть у вказаний час. Крім того, ця операція не виконуватиметься після поновлення роботи апарата.
Якщо апарат перебуває в режимі сну, він автоматично поновить роботу й експорт буде виконано у вказаний час.
Зауважте, що якщо використовується сервер, який не підтримує зашифрований зв’язок SMB 3.0/3.1, під час автоматичного експорту дані журналу аудиту передаються в незашифрованій формі.
Залежно від середовища автоматичний експорт журналів може бути виконано пізніше вказаного часу.
6
Виконуйте інструкції на екрані, щоб зазначити розташування для зберігання файлів.
CSV-файли буде збережено.

Експорт журналу як файлу

Різні журнали можна експортувати та зберегти на комп’ютері як CSV-файли. Ці файли можна відкрити за допомогою редактора CSV-файлів або текстового редактора.
Під час експорту журналів як файлів використовуйте протокол TLS або IPSec. Налаштування параметрів протоколу IPSec
Запустіть інтерфейс віддаленого користувача  [Settings/Registration]  [Device Management]  [Export/Clear Audit Log]  [Export Audit Logs]  [Export]  Дотримуйтесь інструкцій на екрані, щоб зберегти файл
Якщо після експорту потрібно видалити всі журнали, установіть прапорець для параметра [Delete logs from device after export] перш ніж натиснути кнопку [Export]. Якщо потім натиснути кнопку [Cancel], експорт буде скасовано, а журнали видалено, навіть якщо операцію експорту їх як файлів не завершено.
Під час виконання експорту збирання журналів припиняється.

Видалення журналів

Ви можете видалити всі зібрані журнали.
Запустіть інтерфейс віддаленого користувача  [Settings/Registration]  [Device Management]  [Export/Clear Audit Log]  [Delete Audit Logs]  [Delete]  [Yes]
Якщо ввімкнуто параметр [Settings for Auto Export Audit Logs], ви не зможете вручну видалити журнали аудиту.

Надсилання журналів за протоколом Syslog

Відомості про Syslog можна надіслати до SIEM (система керування інформацією про безпеку та подіями). Завдяки зв’язку із системою SIEM можна централізовано керувати різною інформацією, яка аналізується на основі даних оповіщень, отриманих у реальному часі.
1
Запустіть Remote UI (Інтерфейс віддаленого користувача). Запуск інтерфейсу віддаленого користувача
2
Клацніть елемент [Settings/Registration] на сторінці порталу. Екран інтерфейс віддаленого користувача
3
Клацніть [Device Management]  [Export/Clear Audit Log]  [Syslog Settings].
4
Виберіть [Use Syslog Send] і вкажіть потрібні параметри.
[Syslog Server Address:]
Укажіть адресу сервера Syslog, з яким потрібно встановити зв’язок. Введіть необхідну інформацію, наприклад IP-адресу та ім’я хоста, відповідно до вашого середовища.
[Syslog Server Port Number:]
Введіть номер порту, який використовується сервером Syslog для зв’язку Syslog. Якщо залишити пустим, буде використано номер порту, визначений в RFC (UDP: 514, TCP: 1468, TCP (TLS): 6514).
[Facility:]
Укажіть тип повідомлень журналу, які потрібно надіслати. Виберіть одне з такого: [Local0] у [Local7], [Log Alert], [Log Audit], [Security Messages] або [LPR], що визначено в RFC.
[Connection Type:]
Укажіть тип зв’язку ([UDP]/[TCP]).
[Use TLS]
Виберіть цей параметр, щоб шифрувати інформацію, обмін якою здійснюється із сервером Syslog, за протоколом TLS.
Коли [TCP] вибрано в параметрі [Connection Type:], ви можете задати використання TLS.
[Confirm TLS Certificate]/[Add CN to Verification Items]
Укажіть, чи потрібно перевіряти сертифікат сервера TLS, надісланого під час з’єднання, і його спільне ім’я (CN).
5
Натисніть [Update].
Після помилки для деяких журналів аудиту виникає незначне відставання, оскільки передавання даних Syslog виконується після опитування кожні 30 секунд.
Підтримувані RFC: 5424 (формат Syslog), 5425 (TLS) і 5426 (UDP).
9XW6-0E3