Gestión de los registros
Puede utilizar los registros para consultar o analizar cómo se está utilizando el equipo. En los registros se graba información variada sobre cada operación, como la fecha/hora de operación, el nombre del usuario, el tipo de operación, el tipo de función y el resultado de la operación. Para obtener más información sobre los tipos de registros, consulte
Especificaciones del sistema. Para gestionar los registros hacen falta privilegios de Administrador.
|
Si se activa la recogida de registros de auditoría y se produce un error en el área de memoria gestionada por esta función, se realiza la inicialización automáticamente y, a continuación, aparece una pantalla de error. Si puede obtener el registro de auditoría antes de que se produjera el error, haga clic en [Descargar registro de auditoría] para obtener el registro y, a continuación, haga clic en [Bien]. Si no puede obtener el registro de auditoría antes de que se produjera el error, haga clic en [Bien]. Cuando finalice la inicialización, se reanudará la recogida de registros de auditoría y el proceso de inicialización automática se grabará en el registro. |
Inicio de la grabación del registro
Realice el procedimiento siguiente para empezar a grabar registros.
Inicie la IU remota
[Configuración]
[Gestión del dispositivo]
[Exportar o borrar registro de auditoría]
[Información de registro de auditoría]
Haga clic en [Inicio] para [Recogida de registro de auditoría]
|
Si el Consumo de energía en modo reposo está configurado como [Bajo], no se recogerán registros cuando la máquina entre en el modo de reposo. Al generar un registro de conexión de red, un registro de autenticación del buzón de correo, un registro de operaciones de documentos del buzón de correo o el registro de gestión del equipo, haga clic en [Gestión del dispositivo] [Guardar registro de auditoría] marque la casilla de verificación de [Guardar registro de auditoría] haga clic en [Bien] [Aplicar cambios a opciones]. Si se desconecta la alimentación del equipo mientras está recogiendo registros debido a un apagón, etc., la recogida se reanudará cuando se reinicie el equipo, desde el registro que se estuviera recogiendo antes del incidente. Si detiene la recogida de registros mientras estos se están recopilando, los registros del periodo en el que se detuvo la recogida de registros no se recogerán cando se vuelva a iniciar la recogida. |
Exportación de registros automáticamente
Puede configurar el equipo para exportar automáticamente registros de auditoría de exportación en una carpeta especificada en un momento predeterminado de cada día, o cuando el número de registros de auditoría alcance el 95% del número máximo (aproximadamente 38.000).
1
2
Haga clic en [Configuración] en la página del portal.
Pantalla de la IU remota3
Haga clic en [Gestión del dispositivo]
[Exportar o borrar registro de auditoría]
[Opciones para exportar automáticamente registros de auditoría].
4
Seleccione la casilla de verificación para [Usar exportar automáticamente] y especifique las opciones necesarias.
[Nombre de usuario:] / [Contraseña:] Introduzca el nombre de usuario y la contraseña necesarios para iniciar sesión en el servidor en el que se exportan los registros.
[Nombre de servidor SMB:] Introduzca el nombre del host del servidor SMB en el que exportar archivos de registro, junto con la ruta que requiera autenticación.
\\Nombre del host
\\Dirección IP\Nombre del carpeta compartida
[Ruta de la carpeta de destino:] Introduzca la ruta de la carpeta en la que va a guardar los archivos de registro.
[Realizada a las:] Puede especificar la hora a la que se realizará la exportación.
5
Haga clic en [Compruebe la conexión], confirme que la conexión es posible, y luego haga clic en [Actlzr.].
Los registros de auditoría ahora se exportarán automáticamente. La extensión de archivo es "csv."
|
Tras exportar automáticamente los registros de auditoría con éxito, los registros de auditoría recogidos se eliminan automáticamente. No se pueden eliminar manualmente. Una vez exportados y eliminados automáticamente los registros de auditoría, se genera cada registro. Si no se producen otras recopilaciones de registro antes de la siguiente hora de exportación automática, no se exportará automáticamente el registro de auditoría. Si falla la exportación automática, el equipo volverá a intentarlo varias veces. Aparece un mensaje de error en el panel de control del equipo si falla la exportación automática incluso una vez. Especifique un servidor SMB para Windows Server 2012 o posterior, o Windows 10 o posterior. Si el equipo está apagado, la exportación no se realizará, incluso en la hora especificada. Además, no se realizará cuando el equipo se recupere. Si el equipo está en el modo de reposo, automáticamente se recuperará y realizará la exportación en la hora especificada. Tenga en cuenta que está usando un servidor no compatible con la comunicación cifrada SMB 3.0/3.1, por lo que los datos de registro de auditoría viajan sin cifrado a lo largo de rutas de comunicación durante su exportación automáticamente. Dependiendo de su entorno, la exportación automática de registros se puede realizar mucho después de la hora especificada. |
6
Siga las instrucciones en la pantalla para especificar la ubicación de almacenamiento de los archivos.
Se almacenan los archivos csv.
Exportación de un registro como archivo
Los diversos registros se pueden exportar y guardar en un ordenador como archivos CSV, que se pueden abrir mediante un editor de archivos CSV o un editor de texto.
Inicie la IU remota
[Configuración]
[Gestión del dispositivo]
[Exportar o borrar registro de auditoría]
[Exportar registros de auditoría]
[Exportar]
Siga las instrucciones en pantalla para guardar el archivo
Si desea eliminar automáticamente todos los registros después de exportarlos, marque la casilla de verificación de [Eliminar registros del dispositivo tras la exportación] antes de hacer clic en [Exportar]. Si luego hace clic en [Cancelar], se cancela la exportación y se eliminan los registros, aunque no se hayan acabado de exportar como archivos.
La recogida de registros se detiene mientras se lleva a cabo el proceso de exportación.
Eliminación de los registros
Puede eliminar todos los registros recogidos.
Inicie la IU remota
[Configuración]
[Gestión del dispositivo]
[Exportar o borrar registro de auditoría]
[Eliminar registros de auditoría]
[Eliminar]
[Sí]
|
Si está habilitado [Opciones para exportar automáticamente registros de auditoría], no puede eliminar registros de auditoría manualmente. |
Envío de registros a través del protocolo Syslog
La información Syslog puede enviarse a un sistema SIEM (información de seguridad/gestión de eventos). Vincularse con un sistema SIEM permite que diversas informaciones analizadas a partir de información de alertas en tiempo real se puedan gestionar de manera centralizada.
1
2
Haga clic en [Configuración] en la página del portal.
Pantalla de la IU remota3
Haga clic en [Gestión del dispositivo]
[Exportar o borrar registro de auditoría]
[Configuración de Syslog].
4
Seleccione [Utilizar Enviar de Syslog], y especifique las opciones necesarias.
[Dirección del servidor de Syslog:] Especifique la dirección del servidor Syslog al que conectarse. Introduzca la información necesaria, como la dirección IP y el nombre de host en función de su entorno.
[Número de puerto del servidor de Syslog:] Introduzca el número de puerto utilizado en el servidor Syslog para la comunicación Syslog. Si se deja en blanco, se utilizará el número de puerto definido en RFC (UDP: 514, TCP: 1468, TCP (TLS): 6514).
[Instalaciones:] Especifique el tipo de mensajes de registro que enviar. Seleccione una de las siguientes opciones: de [Local0] a [Local7], [Log Alert], [Log Audit], [Security Messages] o [LPR] definidas en RFC.
[Tipo de conexión:] Especifique el tipo de comunicación ([UDP]/[TCP]).
[Utilizar TLS] Seleccione esta opción para usar TLS y cifrar la información comunicada con el servidor Syslog.
Si se selecciona [TCP] en [Tipo de conexión:], puede establecer si usar TLS.
[Confirmar certificado de TLS]/[Añadir CN para los elementos de verificación] Configure si desea que se verifique el certificado de servidor TLS que se envía en el momento de la conexión y su CN (nombre común).
5
Haga clic en [Actualizar].
|
Se produce un ligero retraso de tiempo después del error para algunos registros de auditoría, porque la transmisión de Syslog se realiza después de sondear cada 30 segundos. Las RFC compatibles son 5424 (formato Syslog), 5425 (TLS) y 5426 (UDP). |
VÍNCULOS