日誌管理
您開始收集日誌時,系統會記錄操作日期和時間、使用者名稱、操作詳細資訊以及操作結果等資訊。
除了能夠在發生任何資訊洩露或故障時追蹤本機操作之外,您也可以檢視和分析收集的日誌快速偵測未經授權而使用本機的情況。
關於日誌類型,請參閱日誌規格。日誌類型
除了能夠在發生任何資訊洩露或故障時追蹤本機操作之外,您也可以檢視和分析收集的日誌快速偵測未經授權而使用本機的情況。
關於日誌類型,請參閱日誌規格。日誌類型
註釋
您可以啟用 [工作日誌中不儲存個人資訊] 阻止本機將個人資訊寫入稽核日誌。[顯示工作日誌]
開始收集日誌
您可以設定本機開始收集日誌並記錄日誌。
從電腦使用遠端使用者介面指定此設定。您無法使用控制台指定設定。
需要管理員權限。
需要管理員權限。
1
以管理員身分登入遠端使用者介面。啟動遠端使用者介面
2
在遠端使用者介面的入口網站頁面上,按一下 [設定/註冊]。遠端使用者介面入口網站頁面
3
按一下 [裝置管理] 
[匯出/清除稽核日誌]。
[匯出/清除稽核日誌]。顯示 [稽核日誌資訊] 畫面。
4
在 [稽核日誌收集] 中,按一下 [啟動]。
日誌收集隨即開始。
5
登出遠端使用者介面。
註釋
發生錯誤時
如果在收集稽核日誌時本機上的儲存空間發生任何錯誤,自動執行初始化後會發生錯誤畫面。請按照畫面提示進行下列操作。
如果顯示 [下載稽核日誌],按一下擷取錯誤發生前的日誌,然後按一下 [確定]。
如果未顯示 [下載稽核日誌],按一下 [確定] 即可。
初始化完成時,將恢復日誌收集並記錄自動初始化程序。
睡眠模式期間記錄日誌
睡眠模式期間的功耗設定為 [低] 時,不會記錄日誌。[睡眠模式下的耗電量]
日誌收集停止時
如果在收集日誌時由於斷電或其他原因導致本機電源關閉,日誌收集將從電源關閉前的最後日誌開始恢復。
自動匯出日誌
您可以設定在每日的指定時間自動將日誌匯出為 CSV 檔案,並儲存到指定的 SMB 伺服器上。即使在指定時間之前,日誌數量超過限制的 95%(約 38,000 筆)時,也會執行匯出。
從電腦使用遠端使用者介面指定此設定。您無法使用控制台指定設定。
需要管理員權限。
需要管理員權限。
所需的準備
準備存取 SMB 伺服器的資訊,例如儲存日誌檔案的 SMB 伺服器所用的主機名稱、IP 位址和認證資訊。
* 使用符合下列條件的 SMB 伺服器:
Windows 8 或更高版本,或 Windows Server 2012 或更高版本
支援 SMB v3.0 加密通訊
1
以管理員身分登入遠端使用者介面。啟動遠端使用者介面
2
在遠端使用者介面的入口網站頁面上,按一下 [設定/註冊]。遠端使用者介面入口網站頁面
3
按一下 [裝置管理] [匯出/清除稽核日誌] [自動匯出稽核日誌設定]。
[匯出/清除稽核日誌] [自動匯出稽核日誌設定]。顯示 [自動匯出稽核日誌設定] 畫面。
4
選取 [使用自動匯出] 核取方塊。
5
設定日誌檔案的儲存位置設定。
1
輸入使用者名稱和密碼。
在 [使用者名稱] 和 [密碼] 中輸入登入儲存記錄檔的 SMB 伺服器所用的使用者名稱和密碼。
2
輸入日誌檔案的儲存位置。
在 [SMB伺服器名稱] 中,輸入要儲存記錄檔的 SMB 伺服器所用的主機名稱或 IP 位址。
在 [目的資料夾路徑] 中,輸入儲存日誌檔案的資料夾路徑。
透過包含在 [SMB伺服器名稱] 中來指定需要認證的路徑。
輸入範例:
\\192.168.1.21\share
輸入範例:
\\192.168.1.21\share
6
在 [執行時間] 中,設定執行匯出操作的時間。
端視使用環境而定,匯出操作可能會晚於指定時間執行。
7
按一下 [檢查連線] 驗證您是否可以連線到已設定的儲存位置。
8
按一下 [更新]。
隨即套用設定。
9
登出遠端使用者介面。
註釋
自動匯出完成時
匯出的日誌會自動從本機中刪除。
日誌自動匯出和自動刪除成功完成時,會記錄每個操作的日誌。如果在下一次匯出執行時間之前並未記錄這些日誌之外的日誌,不會執行自動匯出。
自動匯出失敗時
程序會重試多次。如果該程序失敗一次,本機的控制台就會出現錯誤訊息。
本機未開啟電源或在匯出執行時間處於睡眠模式時
如果本機未開啟電源,不會執行自動匯出。即使再次開啟電源,也不會執行自動匯出。
如果本機處於睡眠模式,本機從睡眠模式恢復時,將執行自動匯出。
手動匯出日誌
將日誌匯出為 CSV 檔案並儲存在電腦上。
從電腦使用遠端使用者介面執行手動匯出。您無法使用控制台匯出日誌。
需要管理員權限。
需要管理員權限。
1
以管理員身分登入遠端使用者介面。啟動遠端使用者介面
2
在遠端使用者介面的入口網站頁面上,按一下 [設定/註冊]。遠端使用者介面入口網站頁面
3
按一下 [裝置管理] [匯出/清除稽核日誌] [匯出稽核日誌]。
[匯出/清除稽核日誌] [匯出稽核日誌]。顯示 [匯出稽核日誌] 畫面。
4
按一下 [匯出],將匯出的檔案儲存在電腦上。
如果您要自動刪除本機上匯出的日誌,請勾選 [匯出後從裝置刪除日誌] 核取方塊,然後按一下 [匯出]。
在這種情況下,如果在匯出程序中按一下 [取消] 取消匯出程序,即使未儲存檔案,日誌也會從電腦中刪除。
在這種情況下,如果在匯出程序中按一下 [取消] 取消匯出程序,即使未儲存檔案,日誌也會從電腦中刪除。
處理匯出時日誌收集將停止。
5
登出遠端使用者介面。
刪除日誌
您可以從本機中刪除全部收集的日誌。
* 設定自動匯出時,無法刪除日誌。
從電腦使用遠端使用者介面刪除日誌。您無法使用控制台刪除日誌。
需要管理員權限。
需要管理員權限。
1
以管理員身分登入遠端使用者介面。啟動遠端使用者介面
2
在遠端使用者介面的入口網站頁面上,按一下 [設定/註冊]。遠端使用者介面入口網站頁面
3
按一下 [裝置管理] [匯出/清除稽核日誌] [刪除稽核日誌]。
[匯出/清除稽核日誌] [刪除稽核日誌]。顯示 [刪除稽核日誌] 畫面。
4
按一下 [刪除] [是]。
[是]。隨即刪除日誌。
5
登出遠端使用者介面。
將日誌傳送到 SIEM 系統
您可以設定將系統日誌傳送到 SIEM,這是安全資訊和事件管理系統。
透過將本機與 SIEM 系統連動,可以即時擷取各種日誌,並對收集的日誌進行集中管理和分析。
透過將本機與 SIEM 系統連動,可以即時擷取各種日誌,並對收集的日誌進行集中管理和分析。
從電腦使用遠端使用者介面指定此設定。您無法使用控制台指定設定。
需要管理員權限。
需要管理員權限。
1
以管理員身分登入遠端使用者介面。啟動遠端使用者介面
2
在遠端使用者介面的入口網站頁面上,按一下 [設定/註冊]。遠端使用者介面入口網站頁面
3
按一下 [裝置管理] [匯出/清除稽核日誌] [Syslog設定]。
[匯出/清除稽核日誌] [Syslog設定]。顯示 [Syslog設定] 畫面。
4
選取 [使用Syslog傳送] 核取方塊。
5
設定傳送系統日誌的設定。
[Syslog伺服器位址]
輸入要連線的系統日誌伺服器所用的主機名稱或 IP 位址。
[Syslog伺服器連接埠號]
輸入系統日誌伺服器用於系統日誌通訊的連接埠號碼。如果保留空白,將設定 RFC 指定的下列連接埠號碼。
UDP:514
TCP:1468
TCP (TLS):6514
[設備]
從 RFC 指定的訊息類型中選擇要傳送的日誌訊息類型。
[連線類型]
選擇 [UDP] 或 [TCP]。
[使用TLS]
您為 [連線類型] 勾選 [TCP] 並使用 TLS 加密與系統日誌伺服器的通訊時,請勾選此核取方塊。
[確認TLS憑證]
勾選此核取方塊將在與系統日誌伺服器執行 TLS 加密通訊時認證伺服器憑證。
若要為驗證項目新增一般名稱 (CN),也勾選 [添加CN至驗證項目] 核取方塊。
若要為驗證項目新增一般名稱 (CN),也勾選 [添加CN至驗證項目] 核取方塊。
6
按一下 [更新]。
隨即套用設定。
7
登出遠端使用者介面。
註釋
某些日誌是每 30 秒輪詢一次後透過系統日誌通訊傳送,因此從錯誤發生開始可能存在時間延遲。
適用的 RFC 為 5424(系統日誌格式)、5425 (TLS) 和 5426 (UDP)。