Lokien hallinta
Voit käyttää lokeja kun tarkistat tai analysoit miten laitetta käytetään. Monenlaista tietoa kustakin toiminnosta tallennetaan lokeihin, kuten toiminnon päiväys/aika, käyttäjänimi, toiminnon tyyppi, funktion tyyppi ja toiminnon tulos. Lisätietoja erityyppisistä lokeista on kohdassa
Tekniset tiedot. Pääkäyttäjän valtuudet vaaditaan lokien hallintaan.
|
Jos auditointilokin tallennus on käytössä ja tämän toiminnon hallitsemalla muistialueella tapahtuu virhe, alustus suoritetaan automaattisesti ja esiin tulee virhenäyttö. Jos haluat hakea ennen virheen tapahtumista tallennetun auditointilokin, valitse [Lataa auditointiloki], joka hakee lokin, ja valitse sitten [OK]. Jos ennen virheen tapahtumista tallennettua auditointilokia ei voi hakea, valitse [OK]. Kun alustus on valmis, auditointilokin tallennus jatkuu ja automaattinen alustusprosessi kirjataan lokiin. |
Lokitallennuksen aloittaminen
Noudata allaolevaa toimintaohjetta kun aloitat lokien tallennuksen.
Käynnistä Remote UI (Etäkäyttöliittymä) -sovellus
[Asetukset/Tallennus]
[Laitehallinta]
[Vie/Poista auditointiloki]
[Audit Log Information]
Valitse [Aloita] kohdassa [Audit Log Collection]
|
Jos Tehonkulutus lepotilassa -asetuksena on [Vähän], lokeja ei kerätä kun laite siirtyy lepotilaan. Kun luot verkkoyhteyslokin tai laitehallinnan lokin, napsauta kohtaa [Laitehallinta] [Tallenna auditointiloki] rastita kohdan [Tallenna auditointiloki] valintaruutu napsauta [OK]:ta [Käytä asetusmuutoksia]. Jos laitteesta on katkaistu virta lokien keräämisen aikana esimerkiksi virtakatkoksen vuoksi, kerääminen alkaa uudelleen, kun laite käynnistyy uudelleen, ja jatkuu lokista, jota kerättiin ennen virran katkeamista. Jos lopetat lokin kokoamisen kun lokeja kerätään, lopettamisen aikana kerättyjä lokeja ei kerätä kun lokien kokoaminen käynnistetään seuraavalla kerralla. |
Lokien automaattinen vienti
Voit asettaa laitteen viemään valvontalokin määritettyyn kansion määritettynä aikana joka päivä tai kun valvontalokien määrä saavuttaa 95 % enimmäismäärästä (noin 38 000).
1
2
3
Valitse [Laitehallinta]
[Vie/Poista auditointiloki]
[Auditointilokien automaattisen viennin asetukset].
4
Valitse [Käytä automaattista vientiä] -valintaruutu ja määritä tarvittavat asetukset.
[Käyttäjänimi:] / [Salasana:] Kirjoita käyttäjänimi ja salasana, jotka tarvitaan sisäänkirjautumiseen sillä palvelimella, johon lokit viedään.
[SMB-palvelimen nimi:] Syötä sen SMB-palvelimen isäntänimi, johon lokitiedostot viedään, sekä todennusta vaativa polku.
\\isäntänimi
\\IP-osoite\jaetun kansion nimi
[Vastaanottajakansion polku:] Kirjoita sen kansion polku, johon lokitiedostot tallennetaan.
[Suorita kohteessa:] Voit määrittää ajan, jolloin vienti suoritetaan.
5
Vahvista, että yhteys on mahdollinen, valitsemalla [Tarkista yhteys]. Valitse sitten [Päivitä].
Valvontalokit viedään nyt automaattisesti. Tiedostonimen pääte on "csv".
|
Kun valvontalokien automaattinen vienti on onnistunut, kerätyt valvontalokit poistetaan automaattisesti. Valvontalokeja ei voi poistaa manuaalisesti. Kukin loki luodaan, kun valvontalokien vienti ja poistaminen on onnistunut. Jos muita lokeja ei kerätä seuraavan automaattisen viennin yhteydessä, valvontalokia ei viedä automaattisesti. Jos automaattinen vienti epäonnistuu, laite yrittää useita kertoja. Laitteen käyttöpaneelissa näytetään virheilmoitus, kun automaattinen vienti on epäonnistunut yhdenkin kerran. Määritä SMB-palvelin Windows Server 2016 -järjestelmälle tai uudemmalle tai Windows 10 -järjestelmälle tai uudemmalle. Jos laitteesta katkaistaan virta, vientiä ei suoriteta edes määritettynä aikana. Sitä ei myöskään suoriteta, kun laite palautuu normaalitilaan. Jos laite on lepotilassa, se poistuu siitä automaattisesti ja suorittaa viennin määritettyyn aikaan. Huomaa, että jos käytät palvelinta, joka ei tue SMB 3.0/3.1 -salattua tiedonsiirtoa, valvontalokien tiedot kulkevat salaamattomina koko matkan, kun niitä viedään automaattisesti. Käytetystä ympäristöstä riippuen lokien automaattinen vienti saatetaan suorittaa myöhemmin kuin määritettynä aikana. |
6
Noudata näyttöön tulevia ohjeita ja määritä tiedostojen tallennuspaikka.
CSV-tiedostot tallennetaan.
Lokin vieminen tiedostona
Erilaiset lokit voidaan viedä ja tallentaa tietokoneeseen CSV-tiedostoina, jotka voidaan avata CSV-tiedostoeditorilla tai tekstieditorilla.
Käynnistä Remote UI (Etäkäyttöliittymä) -sovellus
[Asetukset/Tallennus]
[Laitehallinta]
[Vie/Poista auditointiloki]
[Export Audit Logs]
[Vienti]
Tallenna tiedosto näytön ohjeita noudattamalla
Jos haluat poistaa automaattisesti kaikki lokit, kun ne on viety, valitse [Delete logs from device after export] -valintaruutu ennen kuin valitset [Vienti]. Jos valitset sitten [Peruuta], vienti peruutetaan ja lokit poistetaan, vaikka niitä ei ole vielä viety tiedostoina.
Lokien kokoaminen pysäytetään vientitoiminnon ajaksi.
Lokien poistaminen
Voit poistaa kaikki kerätyt lokit.
Käynnistä Remote UI (Etäkäyttöliittymä) -sovellus
[Asetukset/Tallennus]
[Laitehallinta]
[Vie/Poista auditointiloki]
[Delete Audit Logs]
[Poista]
[Kyllä]
|
Jos [Auditointilokien automaattisen viennin asetukset] on käytössä, et voi poistaa valvontalokeja manuaalisesti. |
Lokitiedostojen lähettäminen Syslog-protokollan avulla
Syslog-tiedot voidaan lähettää SIEM (suojaustiedot/tapahtumahallinta) -järjestelmään. Linkittäminen SIEM-järjestelmään mahdollistaa erilaisten reaaliaikaisista hälytyksistä saatujen tietojen keskitetyn hallinnan.
1
2
3
Valitse [Laitehallinta]
[Vie/Poista auditointiloki]
[Syslog-asetukset].
4
Valitse [Käytä Syslog-lähetystä] ja määritä tarvittavat asetukset.
[Syslog-palvelimen osoite:] Määritä yhdistettävän Syslog-palvelimen osoite. Syötä tarvittavat tiedot, kuten IP-osoite ja isäntänimi ympäristön mukaan.
[Syslog-palvelimen portin numero:] Syötä sen portin numero, jota Syslog-palvelin käyttää Syslog-tiedonsiirtoon. Jos tämä on tyhjä, RFC:lle määritetty porttinumeroa (UDP: 514, TCP: 1468, TCP (TLS): 6514) käytetään.
[Toimipaikka:] Määritä lähetettävien loki-ilmoitusten tyyppi. Valitse yksi seuraavista: [Local0]–[Local7], [Log Alert], [Log Audit], [Security Messages] tai [LPR] määritetty RFC:ssä.
[Yhteystyyppi:] Määritä tiedonsiirtotyyppi ([UDP]/[TCP]).
[Käytä TLS:ää] Valitse tämä, kun haluat käyttää TLS-salausta Syslog-palvelimelle lähetetyissä tiedoissa.
Kun [TCP] on valittu kohdassa [Yhteystyyppi:], voit määrittää TLS:n käyttöön.
[Vahvista TLS-varmenne]/[Lisää CN tarkistettaviin nimikkeisiin] Määritä, varmennetaanko yhteyttä muodostettaessa lähetetty TLS-palvelimen varmenne ja sen yhteisönimi (CN).
5
Valitse [Päivit.].
|
Joiden valvontalokien kohdalla on pieni aikaviive virheen jälkeen, koska Syslog-tiedonsiirto suoritetaan joka 30. sekunti tapahtuvan pollauksen jälkeen. Tuetut RFC:t ovat 5424 (Syslog-muoto), 5425 (TLS) ja 5426 (UDP). |
LINKIT