文档

日志审计

更新时间:

日志审计功能提供全面的安全事件审计日志,为日后事件追溯、合规查询提供有效的依据。本文介绍如何查看内网访问审计日志、互联网行为管理审计日志,及超额注册申请日志、卸载申请日志、加速日志、准入日志、防病毒日志。

内网访问审计

常规日志

配置并开启内网访问策略后,如果检测到命中策略的事件,会根据您配置的策略执行相应的操作(例如允许访问或者禁止访问),并将该行为记录在内网访问审计 > 常规日志中,以便您后续查询相关日志。

通过日志列表上方的搜索栏,配置时间范围、动作、策略类型,以及输入用户名、应用名、策略名、应用地址等信息,检索您需要查看的日志。

查看日志详情:在目标日志行,单击右侧操作列的详情。查看目标数据命中情况、基本信息、访问情况、终端情况等。

查看目标用户的设备列表、授权应用和运维异常:单击目标用户名,进入该用户的日志汇总页面,展示的信息如下。

日志汇总

功能区

功能描述

支持的操作

数据统计(图示①)

展示目标用户以下统计数据,通过这些数据,帮助您总体把握该用户的访问行为:

  • 风险设备数

  • 总使用设备数

  • 风险授权数

  • 总授权应用

  • 运维异常

查看详细列表信息:

单击目标统计数值,可与下方的详细列表联动,查看该数值的详细列表信息。

详细列表(图示②)

根据数据统计的类别,您可以从设备授权应用运维异常三个类别来查看数据的详细列表。

查看风险说明:

单击目标信息右侧操作列详情,查看风险说明,帮助您定位问题。

Web应用访问日志

SASE支持对Web应用访问加固,包含安全校验(针对Host请求头进行检测,防止恶意绕过)、访问溯源(HTTP Header中增加用户名等信息用于访问溯源)。

内网访问审计 > Web应用访问日志页签,查看触发Web应用访问加固的访问日志。关于Web应用访问加固的设置,请参见管理应用

终端日志

在终端日志页签,查看企业员工使用SASE App时登录注销日志在线/离线日志超额注册申请日志卸载申请日志。关于终端设备的详细信息,请参见配置及审批终端注册信息

敏感文件检测

敏感文件检测页签,查询企业员工外发的敏感文件日志。关于敏感文件检测的详细信息,请参见通过检测外发文件保障数据安全

查看检测的敏感文件详细信息:单击详情,可查看指定文件的文件信息、关键信息、敏感报文、命中策略、办公终端、外发途径。

image..png

软件管理

软件管理页签,查看企业员工软件使用申请,以及SASE App发现的违规软件情况。关于软件管理的详细信息,请参见软件管理

准入日志

准入日志页签,查询企业员工入网准入日志。关于企业办公网准入的详细信息,请参见办公网准入

  • 本页导读 (1)