Gestion des journaux
Vous pouvez utiliser les journaux pour vérifier ou analyser le fonctionnement de l'appareil. Pour chaque opération, plusieurs informations sont enregistrées dans les journaux, par exemple la date et l'heure, le nom d'utilisateur, le type d'opération, le type de fonction et le résultat de l'opération. Pour en savoir plus sur les types de journaux, consultez la section
Spécifications du système. Il faut des privilèges d'administrateur pour gérer les journaux.
|
Si la collecte des journaux d'audit est activée et si une erreur survient dans l'espace mémoire géré par cette fonction, l'initialisation est automatiquement effectuée, puis un écran d'erreur s'affiche. Si vous pouvez obtenir le journal d'audit avant que l'erreur ne survienne, cliquez sur [Télécharger le journal d'audit] pour obtenir le journal, puis cliquez sur [OK]. Si vous ne pouvez pas obtenir le journal d'audit avant que l'erreur ne survienne, cliquez sur [OK]. Une fois l'initialisation terminée, la collecte de journal d'audit reprend, et le processus d'initialisation automatique est enregistré dans le journal. |
Lancer l'enregistrement du journal
Suivez la procédure ci-dessous pour lancer l'enregistrement des journaux.
Lancez l'interface utilisateur distante
[Réglages/Enregistrement]
[Gestion du périphérique]
[Exporter/Effacer journal d'audit]
[Informations du journal d'audit]
Cliquez sur [Démarrer] pour [Collection de journaux d'audit]
|
Si l'option Utilisation énergie mode veille est réglée sur [Mini], les journaux ne sont pas collectés lorsque l'appareil passe en mode veille. Lorsque vous créez un journal de connexion réseau ou un journal de gestion de la machine, cliquez sur [Gestion du périphérique] [Enregistrer le journal d'audit] sélectionnez la case à cocher pour [Enregistrer le journal d'audit] cliquez sur [OK] [Appliquer modifications de réglage]. Si l'appareil est mis hors tension pendant la collecte de journaux en raison d'une panne de courant, etc., la collecte recommence lorsque l'appareil redémarre, à partir du journal qui était collecté avant la coupure de courant. Si vous arrêtez la collecte de journaux tandis que les journaux sont collectés, les journaux correspondant à la période pendant laquelle la collecte de journaux a été arrêtée ne sont pas collectés au démarrage suivant de la collecte de journaux. |
Exportation automatique des journaux
Vous pouvez définir l'appareil pour exporter automatiquement les journaux d'audit vers le dossier spécifié tous les jours à une heure prédéterminée ou lorsque le nombre de journaux d'audit atteint 95 % du nombre maximum (environ 38 000).
1
2
Cliquez sur [Réglages/Enregistrement] dans la page du portail.
Ecran de l'interface utilisateur distante3
Cliquez sur [Gestion du périphérique]
[Exporter/Effacer journal d'audit]
[Paramètres d'exportation auto des journaux d'audit].
4
Cochez la case pour [Utiliser l'exportation auto] et spécifiez les réglages nécessaires.
[Nom d'utilisateur :] / [Mot de passe :] Saisissez le nom d'utilisateur et le mot de passe requis pour vous connecter à un serveur vers lequel les journaux sont exportés.
[Nom du serveur SMB :] Entrez le nom d'hôte du serveur SMB vers lequel vous exportez les fichiers journaux, ainsi que le chemin nécessitant une authentification.
\\Nom d'hôte
\\Adresse IP\Nom de dossier partagé
[Chemin du dossier de destination :] Saisissez le chemin du dossier dans lequel vous conservez les fichiers journaux.
[Effectuée à :] Vous pouvez spécifier l'heure à laquelle vous effectuez l'exportation.
5
Cliquez sur [Vérifier la connexion] pour vérifier que la connexion est possible, puis cliquez sur [Mettre à jour].
Les journaux d'audit sont alors automatiquement exportés. L'extension du fichier est "csv."
|
Une fois les journaux d'audit correctement exportés, les journaux collectés sont automatiquement supprimés. Les journaux d'audit ne peuvent pas être supprimés manuellement. Une fois l'export et la suppression automatiques des journaux d'audit terminés, chaque journal est généré. Si d'autres collectes de journal n'ont pas lieu avant le prochain export automatique, le journal d'audit ne sera pas automatiquement exporté. Si l'exportation automatique échoue, l'appareil relance cette opération plusieurs fois. Un message d'erreur s'affiche sur le panneau de commande de l'appareil dès le premier échec. Spécifiez un serveur SMB pour Windows Server 2012 ou une version ultérieure, ou encore pour Windows 10 ou une version ultérieure. Si l'appareil est arrêté, l'exportation n'aura pas lieu à l'heure fixée. Elle ne sera pas non plus effectuée si l'appareil est remis en marche. Si l'appareil est en mode veille, il quitte automatiquement ce mode et effectue l'exportation à l'heure fixée. Veuillez noter que si vous utilisez un serveur ne prenant pas en charge les communications cryptées SMB v3.0/3.1, les données des journaux d'audit transitent sans être cryptées sur les canaux de communication pendant leur exportation automatique. Selon votre environnement, l'exportation automatique des journaux peut être réalisée après l'heure fixée. |
6
Suivez les instructions à l'écran pour spécifier l'emplacement de stockage des fichiers.
Les fichiers csv sont stockés.
Exportation d'un journal en tant que fichier
Les différents journaux peuvent être exportés et enregistrés sur un ordinateur en tant que fichiers CSV, lesquels fichiers peuvent être ouverts au moyen d'un éditeur de fichiers CSV ou d'un éditeur de texte.
Lancez l'interface utilisateur distante
[Réglages/Enregistrement]
[Gestion du périphérique]
[Exporter/Effacer journal d'audit]
[Exporter les journaux d'audit]
[Exporter]
Suivez les instructions à l'écran pour sauvegarder le fichier
Si vous voulez supprimer automatiquement tous les journaux après les avoir exportés, cochez la case pour [Supprimer les journaux du périphérique après exportation] avant de cliquer sur [Exporter]. Si vous cliquez ensuite sur [Annuler], l'export est annulé et les journaux sont supprimés, même si l'export en tant que fichiers n'a pas été terminé.
La collecte de journaux s'arrête pendant l'exécution du processus d'exportation.
Suppression des journaux
Vous pouvez supprimer tous les journaux collectés.
Lancez l'interface utilisateur
[Réglages/Enregistrement]
[Gestion du périphérique]
[Exporter/Effacer journal d'audit]
[Supprimer les journaux d'audit]
[Supprimer]
[Oui]
|
Si [Paramètres d'exportation auto des journaux d'audit] est activé, il est impossible de supprimer manuellement les journaux d'audit. |
Envoi de journaux via le protocole Syslog
Des informations Syslog peuvent être envoyées à un système SIEM (Security Information/Event Management/gestion des événements/informations de sécurité). Une liaison avec un système SIEM permet la gestion centralisée de diverses informations analysées à partir d'informations d'alerte en temps réel.
1
2
Cliquez sur [Réglages/Enregistrement] dans la page du portail.
Ecran de l'interface utilisateur distante3
Cliquez sur [Gestion du périphérique]
[Exporter/Effacer journal d'audit]
[Paramètres Syslog].
4
Sélectionnez [Utiliser l'envoi Syslog], et spécifiez les réglages requis.
[Adresse du serveur Syslog :] Spécifiez l'adresse du serveur Syslog de connexion. Saisissez les informations nécessaires, comme l'adresse IP et le nom d'hôte, en fonction de votre environnement.
[Numéro de port du serveur Syslog :] Saisissez le numéro du port utilisé par le serveur Syslog pour la communication Syslog. Si ce champ reste vierge, le numéro de port défini dans RFC (UDP: 514, TCP: 1468, TCP (TLS): 6514) est utilisé.
[Fonctionnalité :] Spécifiez le type des messages de journaux à envoyer. Sélectionnez l'un des paramètres suivants : [Local0] vers [Local7], [Log Alert], [Log Audit], [Security Messages] ou [LPR] défini dans RFC.
[Type de connexion :] Spécifiez le type de communication ([UDP]/[TCP]).
[Utiliser TLS] Cochez cette case pour utiliser TLS pour crypter les informations communiquées avec le serveur Syslog.
Lorsque [TCP] est sélectionné dans [Type de connexion :], vous pouvez définir l'utilisation de TLS.
[Confirmer le certificat TLS]/[Ajouter CN aux éléments de vérification] Définissez s'il faut vérifier le certificat de serveur TLS envoyé lors de la connexion et son CN (nom commun).
5
Cliquez sur [Mettre à jour].
|
Un léger décalage survient après l'erreur de certains journaux d'audit car la transmission Syslog est effectuée après une interrogation d'environ 30 secondes. Les RFC pris en charge sont : 5424 (format Syslog), 5425 (TLS) et 5426 (UDP). |
LIENS