Quản lý nhật ký
Bạn có thể sử dụng nhật ký để xem hoặc phân tích cách máy đang được sử dụng. Nhiều thông tin về mỗi hoạt động được ghi lại trong nhật ký, chẳng hạn như ngày/giờ hoạt động, tên người dùng, loại hoạt động, loại chức năng và kết quả hoạt động. Để biết thêm thông tin về các loại nhật ký, xem mục Thông số kỹ thuật hệ thống. Cần có quyền quản trị viên để quản lý nhật ký.
|
Nếu bật Bộ sưu tập nhật ký kiểm tra và xảy ra lỗi trong vùng bộ nhớ do chức năng này quản lý, thì quá trình khởi tạo sẽ tự động được thực hiện và sau đó màn hình lỗi sẽ xuất hiện. Nếu bạn có thể lấy được nhật ký kiểm tra từ trước khi lỗi xảy ra, nhấp vào [Download Audit Log] để lấy nhật ký, rồi nhấp vào [OK]. Nếu bạn không thể lấy được nhật ký kiểm tra từ trước khi lỗi xảy ra, hãy nhấp vào [OK]. Khi quá trình khởi tạo hoàn tất, việc Thu thập nhật ký kiểm tra được tiếp tục và quá trình khởi tạo tự động được ghi lại trong nhật ký. |
Bắt đầu ghi nhật ký
Làm theo quy trình dưới đây để bắt đầu ghi nhật ký.
Khởi động Remote UI 
[Settings/Registration] [Device Management] [Export/Clear Audit Log] [Audit Log Information] Nhấp vào [Start] cho [Audit Log Collection]
[Settings/Registration] [Device Management] [Export/Clear Audit Log] [Audit Log Information] Nhấp vào [Start] cho [Audit Log Collection] |
Nếu cài đặt Sử dụng năng lượng ở chế độ nghỉ thành [Low], thì sẽ không thu thập Nhật ký khi máy chuyển sang Chế độ nghỉ. Khi tạo nhật ký kết nối mạng hoặc nhật ký quản lý máy, nhấp vào [Device Management] [Save Audit Log] và chọn hộp kiểm [Save Audit Log] nhấp vào [OK] [Apply Setting Changes].Nếu máy bị TẮT trong khi đang thu thập nhật ký do mất điện, v.v., thì quá trình thu thập sẽ bắt đầu lại khi máy khởi động lại, từ lúc nhật ký đã được thu thập trước khi nguồn bị TẮT. Nếu bạn dừng thu thập nhật ký trong khi nhật ký đang được thu thập, thì nhật ký của khoảng thời gian dừng việc thu thập nhật ký sẽ không được thu thập khi bắt đầu thu thập nhật ký vào lần kế tiếp. |
Xuất nhật ký tự động
Bạn có thể thiết lập để máy tự động xuất nhật ký kiểm tra sang thư mục cụ thể vào thời điểm xác định trước hàng ngày hoặc khi số lượng nhật ký kiểm tra đạt 95% số lượng tối đa (khoảng 38.000).
1
Khởi động Remote UI. Khởi động Remote UI
2
Nhấp vào [Settings/Registration] trên trang cổng thông tin. Màn hình Remote UI
3
Nhấp vào [Device Management] [Export/Clear Audit Log] [Settings for Auto Export Audit Logs].
[Export/Clear Audit Log] [Settings for Auto Export Audit Logs].4
Chọn hộp kiểm [Use Auto Export] và chỉ định các cài đặt cần thiết.
[User Name:] / [Password:]Nhập tên người dùng và mật khẩu cần thiết để đăng nhập vào máy chủ chứa nhật ký được xuất.
[SMB Server Name:]Nhập tên của máy chủ SMB mà tập tin nhật ký được xuất sang cùng với đường dẫn yêu cầu xác thực.
\\Tên máy chủ
\\Địa chỉ IP\Tên thư mục dùng chung
[Destination Folder Path:]Nhập đường dẫn đến thư mục chứa tập tin nhật ký.
[Perform At:]Bạn có thể chỉ định thời gian thực hiện thao tác xuất.
5
Nhấp vào [Check Connection] để xác nhận rằng bạn có thể kết nối, rồi nhấp vào [Update].
Bây giờ, nhật ký kiểm tra sẽ được xuất tự động. Phần mở rộng tập tin là “csv”.
|
Sau khi tự động xuất nhật ký kiểm tra thành công, nhật ký kiểm tra thu được sẽ tự động bị xóa. Bạn không thể xóa thủ công nhật ký kiểm tra. Sau khi tự động xuất và xóa nhật ký kiểm tra thành công, từng nhật ký sẽ được tạo. Nếu các bộ sưu tập nhật ký khác không xuất hiện vào lần xuất tự động tiếp theo, nhật ký kiểm tra sẽ không được xuất tự động. Bạn cũng có thể xuất thủ công nhật ký kiểm tra từ UI Từ Xa. Xuất Nhật ký dưới dạng tập tin Nếu thao tác tự động xuất không thành công, máy sẽ thử lại nhiều lần. Thông báo lỗi sẽ hiển thị trên bảng điều khiển của máy nếu thao tác tự động xuất không thành công dù chỉ một lần. Chỉ định máy chủ SMB cho Windows Server 2016 trở lên hoặc Windows 10 trở lên. Nếu TẮT máy, thao tác xuất sẽ không được thực hiện, ngay cả tại thời điểm chỉ định. Thao tác này cũng sẽ không được thực hiện sau khi máy khôi phục. Nếu đang ở Chế độ nghỉ, máy sẽ tự động khôi phục và thực hiện thao tác xuất vào thời gian chỉ định. Lưu ý rằng nếu bạn đang sử dụng máy chủ không hỗ trợ giao tiếp được mã hóa SMB 3.0/3.1, thì dữ liệu của nhật ký kiểm tra sẽ di chuyển trong trạng thái chưa mã hóa theo các đường giao tiếp trong khi tự động xuất. Tùy thuộc vào môi trường của bạn, thao tác tự động xuất nhật ký có thể được thực hiện muộn hơn thời gian chỉ định. |
6
Làm theo hướng dẫn trên màn hình để chỉ định vị trí lưu tập tin.
Các tập tin csv sẽ được lưu.
Xuất Nhật ký dưới dạng tập tin
Có thể xuất và lưu nhiều nhật ký khác nhau vào máy tính dưới dạng tập tin CSV mà có thể mở bằng trình chỉnh sửa tập tin CSV hoặc trình soạn thảo văn bản.
|
Khi xuất nhật ký dưới dạng tập tin, hãy sử dụng giao thức TLS hoặc IPSec. Cấu hình cài đặt IPSec |
Khởi động Remote UI [Settings/Registration] [Device Management] [Export/Clear Audit Log] [Export Audit Logs] [Export] Làm theo hướng dẫn trên màn hình để lưu tập tin
[Settings/Registration] [Device Management] [Export/Clear Audit Log] [Export Audit Logs] [Export] Làm theo hướng dẫn trên màn hình để lưu tập tinNếu bạn muốn tự động xóa tất cả nhật ký sau khi chúng được xuất ra, hãy chọn hộp kiểm [Delete logs from device after export] trước khi nhấp vào [Export]. Sau đó nếu bạn nhấp vào [Cancel], thì việc xuất ra bị hủy và nhật ký bị xóa, ngay cả khi chúng chưa được xuất ra dưới dạng tập tin.
Việc thu thập nhật ký bị dừng lại trong khi đang thực hiện quá trình xuất.
Xóa nhật ký
Bạn có thể xóa tất cả nhật ký đã thu thập.
Khởi động Remote UI [Settings/Registration] [Device Management] [Export/Clear Audit Log] [Delete Audit Logs] [Delete] [Yes]
[Settings/Registration] [Device Management] [Export/Clear Audit Log] [Delete Audit Logs] [Delete] [Yes] |
Nếu bật [Settings for Auto Export Audit Logs], bạn không thể xóa thủ công nhật ký kiểm tra. |
Gửi nhật ký qua giao thức Syslog
Có thể gửi thông tin Syslog đến hệ thống SIEM (thông tin bảo mật/quản lý sự kiện). Việc liên kết với hệ thống SIEM cho phép các thông tin khác nhau được phân tích từ thông tin cảnh báo thời gian thực được quản lý tập trung.
1
Khởi động Remote UI. Khởi động Remote UI
2
Nhấp vào [Settings/Registration] trên trang cổng thông tin. Màn hình Remote UI
3
Nhấp vào [Device Management] [Export/Clear Audit Log] [Syslog Settings].
[Export/Clear Audit Log] [Syslog Settings].4
Chọn [Use Syslog Send], và chỉ định các cài đặt cần thiết.
[Syslog Server Address:]Chỉ định địa chỉ của máy chủ Syslog để kết nối. Nhập thông tin cần thiết, chẳng hạn như địa chỉ IP và tên máy chủ, tùy theo môi trường của bạn.
[Syslog Server Port Number:]Nhập số cổng được máy chủ Syslog sử dụng cho giao tiếp Syslog. Nếu để trống, thì sử dụng số cổng được xác định trong RFC (UDP: 514, TCP: 1468, TCP (TLS): 6514).
[Facility:]Chỉ định loại thông báo nhật ký để gửi. Chọn một trong những loại thông báo sau đây: [Local0] đến [Local7], [Log Alert], [Log Audit], [Security Messages], hoặc [LPR] được xác định trong RFC.
[Connection Type:]Chỉ định kiểu giao tiếp ([UDP]/[TCP]).
[Use TLS]Chọn mục này để sử dụng TLS để mã hóa thông tin giao tiếp với máy chủ Syslog.
Khi chọn [TCP] trong [Connection Type:], bạn có thể cài đặt để sử dụng TLS.
[Confirm TLS Certificate]/[Add CN to Verification Items]Cài đặt có xác minh chứng chỉ máy chủ TLS được gửi khi kết nối hay không và CN (Tên chung) của nó.
5
Nhấp vào [Update].
|
Độ trễ thời gian ngắn xảy ra sau khi lỗi đối với một số nhật ký kiểm tra, vì quá trình truyền Syslog được thực hiện sau khi thăm dò cứ mỗi 30 giây. Các RFC được hỗ trợ là 5424 (định dạng Syslog), 5425 (TLS) và 5426 (UDP). |