管理日志
可以使用日志来检查或分析本机的使用情况。日志中记录了有关各项操作的各种信息,例如操作日期/时间、用户名、操作类型、功能类型和操作结果。有关日志类型的详细信息,请参阅
系统规格。必须具有管理员权限才能管理日志。
|
若启用“审核日志收集”,当由该功能管理的存储区域出现错误时,将自动进行初始化,随后会显示错误屏幕。 如果在出现错误之前可以获取审核日志,可单击 [下载审核日志] 获取日志,然后单击 [确定]。 如果在出现错误之前无法获取审核日志,请单击 [确定]。 在完成初始化后,将继续启用“审核日志收集”,同时自动初始化程序将记录在日志中。 |
启动日志记录
遵循下列步骤开始记录日志。
启动“远程用户界面”
[设置/注册]
[设备管理]
[导出/清除审核日志]
[审核日志信息]
单击[启动]开启[审核日志收集]功能
|
如果“睡眠模式能源使用”设为[低],当本机进入睡眠模式时不收集日志。 当生成网络连接日志或本机管理日志时,单击[设备管理] [保存审核日志] 选中[保存审核日志]的复选框 单击[确定] [应用设置更改]。 在收集日志过程中若因断电等原因导致本机电源关闭,当重新启动机器时将再次从关机前收集的日志开始继续收集操作。 在收集日志过程中若停止日志收集操作,在执行下一次日志收集操作时将不会收集前一次停止收集的日志。 |
自动导出日志
可以将本机设置为在每日预定时间,或当审核日志数达到最大数的95%(约38,000)时,自动将审核日志导出至指定文件夹。
1
2
3
单击[设备管理]
[导出/清除审核日志]
[自动导出审核日志设置]。
4
选择[使用自动导出]复选框,然后指定所需的设置。
[用户名:] / [密码:] 输入登录至日志所导出到的服务器所需的用户名和密码。
[SMB服务器名称:] 输入要将日志文件导出到的SMB服务器主机名以及需要认证的路径。
\\主机名
\\IP地址\共享的文件夹名称
[目标文件夹路径:] 输入要在其中存储日志文件的文件夹路径。
[执行时间:] 可以指定执行导出的时间。
5
单击[检查连接]确认可以连接,然后单击[更新]。
审核日志现在可以自动导出。文件扩展名为“csv.”。
|
自动导出审核日志成功后,将删除收集的审核日志。审核日志无法手动删除。 成功自动导出和删除审核日志后,生成每个日志。如果下一个自动导出时间其它日志收集没有发生,则不会自动导出审核日志。 如果自动导出失败,本机将重试数次。如果自动导出仍失败,本机的操作面板上将显示错误信息。 指定 Windows Server 2012 或更高版本,或者 Windows 10 或更高版本的 SMB 服务器。 如果本机关闭,即使在指定时间,也不会执行导出。而且,当本机恢复时,也不会执行。 如果本机处于睡眠模式,将会在指定时间自动恢复并执行导出。 注意!如果使用的服务器不支持 SMB 3.0/3.1 加密通信,审核日志数据以未加密的状态穿过通信路径直至被自动导出。 视环境而定,执行自动导出日志的时间可能会晚于指定时间。 |
6
遵照屏幕上的说明指定文件的存储位置。
csv文件已经存储。
将日志作为文件导出
可以导出各种日志并在计算机上保存为CSV文件,这种文件可以用CSV文件编辑器或文本编辑器打开。
启动“远程用户界面”
[设置/注册]
[设备管理]
[导出/清除审核日志]
[导出审核日志]
[导出]
按照屏幕上的说明保存文件
如果要在导出所有日志后自动将其删除,选择[导出后从设备删除日志]复选框,然后单击[导出]。如果之后单击[取消],则即使日志未完成文件导出,也将取消导出并删除日志。
在执行导出程序过程中停止日志收集。
删除日志
可以删除所有收集的日志。
启动“远程用户界面”
[设置/注册]
[设备管理]
[导出/清除审核日志]
[删除审核日志]
[删除]
[是]
|
如果启用[自动导出审核日志设置],则不能手动删除审核日志。 |
通过Syslog协议发送日志
系统日志信息可以发送到SIEM(安全信息/事件管理)系统。通过与SIEM系统相链接,可以集中管理从实时警报信息中分析的各种信息。
1
2
3
单击[设备管理]
[导出/清除审核日志]
[Syslog设置]。
4
选择[使用Syslog发送],然后指定所需的设置。
[Syslog服务器地址:] 指定要连接的Syslog服务器地址。根据环境输入IP地址和主机名等必要信息。
[Syslog服务器端口号:] 输入Syslog服务器用于Syslog通信的端口号。如果留空,将使用 RFC 中定义的端口号 (UDP:514、TCP:1468、TCP (TLS):6514)。
[设备:] 指定待发送的日志消息类型。选择以下其中一项:[Local0]到[Local7]、[Log Alert]、[Log Audit]、[Security Messages]或RFC中定义的[LPR]。
[连接类型:] 指定通信类型([UDP]/[TCP])。
[使用TLS] 选择此选项,使用TLS加密与Syslog服务器通信的信息。
如果在[连接类型:]中选择了[TCP],可设置为使用TLS。
[确认TLS证书]/[添加CN到验证项目] 设置是否验证连接时发送的TLS服务器证书及其CN(通用名称)。
5
单击[更新]。
|
由于是在每隔30秒钟进行轮询后执行Syslog传输,因此在发生部分审核日志错误后可能出现轻微的时间延迟。 支持的RFC为5424(Syslog格式)、5425 (TLS)和5426 (UDP)。 |
链接