การจัดการบันทึกข้อมูล
คุณสามารถใช้บันทึกข้อมูลเพื่อตรวจสอบหรือวิเคราะห์วิธีการใช้งานเครื่อง ข้อมูลที่หลากหลายเกี่ยวกับการดำเนินการแต่ละรูปแบบจะถูกบันทึกไว้ในบันทึกข้อมูล เช่น วันที่/เวลาดำเนินการ ชื่อผู้ใช้ ประเภทการดำเนินการ ประเภทฟังก์ชัน และผลการดำเนินการ โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับประเภทของบันทึกข้อมูลที่ ข้อมูลจำเพาะเกี่ยวกับระบบ ซึ่งคุณต้องมีสิทธิ์ของผู้ดูแลระบบเพื่อจัดการบันทึกข้อมูล
|
หากเปิดใช้งานการรวบรวมบันทึกข้อมูลการตรวจสอบและมีข้อผิดพลาดเกิดขึ้นในพื้นที่หน่วยความจำที่จัดการโดยฟังก์ชันนี้ การเตรียมใช้งานจะดำเนินการโดยอัตโนมัติ จากนั้นหน้าจอแสดงข้อผิดพลาดจะปรากฏขึ้น หากคุณสามารถรับบันทึกข้อมูลการตรวจสอบได้ก่อนที่จะมีข้อผิดพลาดเกิดขึ้น ให้คลิก [Download Audit Log] เพื่อรับบันทึกข้อมูล จากนั้นจึงคลิก [OK] หากคุณไม่สามารถรับบันทึกข้อมูลการตรวจสอบก่อนที่จะมีข้อผิดพลาดเกิดขึ้น ให้คลิก [OK] เมื่อการเตรียมใช้งานเสร็จสมบูรณ์ การรวบรวมบันทึกข้อมูลการตรวจสอบจะกลับมาทำงานอีกครั้ง และกระบวนการเตรียมใช้งานอัตโนมัติจะถูกบันทึกไว้ในบันทึกข้อมูล |
การเริ่มต้นการบันทึกบันทึกข้อมูล
ทำตามขั้นตอนด้านล่างเพื่อเริ่มต้นการบันทึกบันทึกข้อมูล
เริ่มต้น UI ระยะไกล 
[Settings/Registration] [Device Management] [Export/Clear Audit Log] [Audit Log Information] คลิก [Start] สำหรับ [Audit Log Collection]
[Settings/Registration] [Device Management] [Export/Clear Audit Log] [Audit Log Information] คลิก [Start] สำหรับ [Audit Log Collection] |
หากตั้งค่าการใช้พลังงานในโหมดสลีปเป็น [Low] จะไม่มีการรวบรวมบันทึกข้อมูลเมื่อเครื่องเข้าสู่โหมดสลีป เมื่อสร้างบันทึกข้อมูลการเชื่อมต่อเครือข่ายหรือบันทึกข้อมูลการจัดการเครื่อง ให้คลิก [Device Management] [Save Audit Log] เลือกช่องทำเครื่องหมายสำหรับ [Save Audit Log] คลิก [OK] [Apply Setting Changes]หากปิดเครื่องในขณะที่รวบรวมบันทึกข้อมูลเนื่องจากไฟฟ้าดับ เป็นต้น การรวบรวมจะเริ่มขึ้นอีกครั้งเมื่อเครื่องรีสตาร์ท โดยดำเนินการต่อจากบันทึกข้อมูลที่กำลังรวบรวมก่อนที่เครื่องจะปิด หากคุณหยุดการรวบรวมบันทึกข้อมูลในขณะที่กำลังรวบรวมอยู่ ระบบจะไม่รวบรวมบันทึกข้อมูลในช่วงเวลาที่หยุดทำการรวบรวมบันทึกข้อมูล เมื่อการรวบรวมบันทึกข้อมูลเริ่มต้นในครั้งถัดไป |
การส่งออกบันทึกข้อมูลโดยอัตโนมัติ
คุณสามารถตั้งค่าเครื่องให้ส่งออกบันทึกข้อมูลการตรวจสอบไปยังโฟลเดอร์ที่ระบุโดยอัตโนมัติตามเวลาที่กำหนดไว้ในแต่ละวัน หรือเมื่อจำนวนบันทึกข้อมูลการตรวจสอบถึง 95% ของจำนวนสูงสุด (ประมาณ 38,000 รายการ)
1
เริ่มการทำงานของ UI ระยะไกล การเริ่มต้น UI ระยะไกล
2
คลิก [Settings/Registration] บนหน้าพอร์ทัล หน้าจอ UI ระยะไกล
3
คลิก [Device Management] [Export/Clear Audit Log] [Settings for Auto Export Audit Logs]
[Export/Clear Audit Log] [Settings for Auto Export Audit Logs]4
เลือกกล่องกาเครื่องหมายสำหรับ [Use Auto Export] และระบุการตั้งค่าที่จำเป็น
[User Name:] / [Password:]ป้อนชื่อผู้ใช้และรหัสผ่านที่จำเป็นสำหรับการเข้าสู่ระบบเซิร์ฟเวอร์ที่จะส่งออกบันทึก
[SMB Server Name:]ป้อนชื่อโฮสต์ของเซิร์ฟเวอร์ SMB ที่จะส่งออกไฟล์บันทึกไป พร้อมด้วยพาธที่ต้องมีการรับรองความถูกต้อง
\\ชื่อโฮสต์
\\ที่อยู่ IP\ชื่อโฟลเดอร์ที่ใช้ร่วมกัน
[Destination Folder Path:]ป้อนพาธสำหรับโฟลเดอร์ที่จะจัดเก็บไฟล์บันทึก
[Perform At:]คุณสามารถระบุเวลาที่จะดำเนินการส่งออกได้
5
คลิก [Check Connection] ยืนยันว่าคุณสามารถเชื่อมต่อได้ จากนั้นจึงคลิก [Update]
บันทึกข้อมูลการตรวจสอบจะถูกส่งออกโดยอัตโนมัติ นามสกุลไฟล์คือ “csv”
|
หลังจากที่ส่งออกบันทึกข้อมูลการตรวจสอบโดยอัตโนมัติสำเร็จแล้ว บันทึกข้อมูลการตรวจสอบที่รวบรวมไว้จะถูกลบโดยอัตโนมัติ ไม่สามารถลบบันทึกข้อมูลการตรวจสอบด้วยตนเอง หลังจากที่ส่งออกและลบบันทึกข้อมูลการตรวจสอบโดยอัตโนมัติสำเร็จแล้ว แต่ละบันทึกจะถูกสร้างขึ้น หากการรวบรวมบันทึกอื่นๆ ไม่เกิดขึ้นภายในเวลาส่งออกอัตโนมัติครั้งถัดไป บันทึกข้อมูลการตรวจสอบจะไม่ถูกส่งออกโดยอัตโนมัติ คุณสามารถส่งออกบันทึกข้อมูลการตรวจสอบจาก UI ระยะไกลได้ด้วยตนเองเช่นกัน การส่งออกบันทึกข้อมูลในรูปแบบไฟล์ หากการส่งออกโดยอัตโนมัติล้มเหลว เครื่องจะพยายามส่งใหม่หลายครั้ง และหากการส่งออกอัตโนมัติล้มเหลวแม้แต่ครั้งเดียว จะมีข้อความแสดงบนแผงควบคุมของเครื่อง ระบุเซิร์ฟเวอร์ SMB สำหรับ Windows Server 2016 หรือใหม่กว่า หรือ Windows 10 หรือใหม่กว่า หากปิดเครื่อง การส่งออกจะไม่ถูกดำเนินการ แม้แต่ในเวลาที่ได้ระบุไว้ นอกจากนี้ จะไม่ทำงานเมื่อเครื่องกลับมาทำงาน หากเครื่องอยู่ในโหมดสลีป เครื่องจะกู้คืนและดำเนินการส่งออกตามเวลาที่กำหนดโดยอัตโนมัติ โปรดทราบว่าหากคุณใช้เซิร์ฟเวอร์ที่ไม่รองรับการสื่อสารแบบเข้ารหัส SMB 3.0/3.1 ข้อมูลบันทึกข้อมูลการตรวจสอบจะเดินทางโดยไม่เข้ารหัสข้ามพาธการสื่อสารในขณะที่มีการส่งออกโดยอัตโนมัติ อาจมีการส่งออกบันทึกหลังจากเวลาที่ระบุไว้ ทั้งนี้ขึ้นอยู่กับสภาพแวดล้อมของคุณ |
6
ทำตามคำแนะนำบนหน้าจอเพื่อระบุตำแหน่งที่จะจัดเก็บไฟล์
ไฟล์ csv จะถูกจัดเก็บไว้
การส่งออกบันทึกข้อมูลในรูปแบบไฟล์
บันทึกข้อมูลต่าง ๆ สามารถส่งออกและบันทึกลงในคอมพิวเตอร์เป็นไฟล์ CSV ซึ่งสามารถเปิดได้โดยใช้โปรแกรมแก้ไขไฟล์ CSV หรือโปรแกรมแก้ไขข้อความ
|
เมื่อส่งออกบันทึกในรูปแบบไฟล์ ให้ใช้ TLS หรือ IPSec การกำหนดการตั้งค่า IPSec |
เริ่มต้น UI ระยะไกล [Settings/Registration] [Device Management] [Export/Clear Audit Log] [Export Audit Logs] [Export] ทำตามคำแนะนำบนหน้าจอเพื่อบันทึกไฟล์
[Settings/Registration] [Device Management] [Export/Clear Audit Log] [Export Audit Logs] [Export] ทำตามคำแนะนำบนหน้าจอเพื่อบันทึกไฟล์หากคุณต้องการลบบันทึกข้อมูลทั้งหมดโดยอัตโนมัติหลังจากส่งออกแล้ว ให้เลือกช่องทำเครื่องหมายสำหรับ [Delete logs from device after export] ก่อนที่จะคลิก [Export] หากคุณคลิก [Cancel] ระบบจะยกเลิกการส่งออกและลบบันทึกข้อมูล แม้ว่าจะส่งออกในรูปแบบไฟล์ยังไม่เสร็จก็ตาม
การรวบรวมบันทึกจะหยุดในขณะที่กระบวนการส่งออกกำลังดำเนินการอยู่
การลบบันทึกข้อมูล
คุณสามารถลบบันทึกที่รวบรวมไว้ทั้งหมดได้
เริ่มต้น UI ระยะไกล [Settings/Registration] [Device Management] [Export/Clear Audit Log] [Delete Audit Logs] [Delete] [Yes]
[Settings/Registration] [Device Management] [Export/Clear Audit Log] [Delete Audit Logs] [Delete] [Yes] |
หากมีการเปิดใช้งาน [Settings for Auto Export Audit Logs] จะไม่สามารถลบบันทึกข้อมูลการตรวจสอบได้ด้วยตนเอง |
การส่งบันทึกข้อมูลผ่านโปรโตคอล Syslog
ข้อมูล Syslog สามารถส่งไปยังระบบ SIEM (ข้อมูลการรักษาความปลอดภัย/การจัดการเหตุการณ์) การเชื่อมโยงกับระบบ SIEM ช่วยให้สามารถจัดการข้อมูลต่าง ๆ ที่วิเคราะห์จากข้อมูลการแจ้งเตือนแบบเรียลไทม์ได้จากส่วนกลาง
1
เริ่มการทำงานของ UI ระยะไกล การเริ่มต้น UI ระยะไกล
2
คลิก [Settings/Registration] บนหน้าพอร์ทัล หน้าจอ UI ระยะไกล
3
คลิก [Device Management] [Export/Clear Audit Log] [Syslog Settings]
[Export/Clear Audit Log] [Syslog Settings]4
เลือก [Use Syslog Send] และระบุการตั้งค่าที่จำเป็น
[Syslog Server Address:]ระบุที่อยู่ของเซิร์ฟเวอร์ Syslog ที่จะเชื่อมต่อ ป้อนข้อมูลที่จำเป็น เช่น ที่อยู่ IP และชื่อโฮสต์ ตามสภาพแวดล้อมของคุณ
[Syslog Server Port Number:]ป้อนหมายเลขพอร์ตที่ใช้โดยเซิร์ฟเวอร์ Syslog สำหรับการสื่อสาร Syslog หากเว้นว่างไว้ ระบบจะใช้หมายเลขพอร์ตที่กำหนดไว้ใน RFC (UDP: 514, TCP: 1468, TCP (TLS): 6514)
[Facility:]ระบุประเภทของข้อความบันทึกข้อมูลที่จะส่ง เลือกตัวเลือกหนึ่งจากรายการต่อไปนี้: [Local0] ถึง [Local7], [Log Alert], [Log Audit], [Security Messages] หรือ [LPR] ที่กำหนดไว้ใน RFC
[Connection Type:]ระบุประเภทการสื่อสาร ([UDP]/[TCP])
[Use TLS]เลือกตัวเลือกนี้เพื่อใช้ TLS ในการเข้ารหัสข้อมูลที่สื่อสารกับเซิร์ฟเวอร์ Syslog
เมื่อเลือก [TCP] ใน [Connection Type:] คุณสามารถตั้งค่าเพื่อใช้ TLS ได้
[Confirm TLS Certificate]/[Add CN to Verification Items]ตั้งค่าว่าจะตรวจสอบใบรับรองเซิร์ฟเวอร์ TLS ที่ส่งเมื่อเชื่อมต่อและ CN (ชื่อทั่วไป) หรือไม่
5
คลิก [Update]
|
เวลาล่าช้าเล็กน้อยเกิดขึ้นหลังจากเกิดข้อผิดพลาดสำหรับบันทึกข้อมูลการตรวจสอบบางรายการ เนื่องจากการส่ง Syslog จะดำเนินการหลังจากการสำรวจทุก ๆ 30 วินาที RFC ที่รองรับคือ 5424 (รูปแบบ Syslog), 5425 (TLS) และ 5426 (UDP) |