日志审计功能提供全面的安全事件审计日志,为日后事件追溯、合规查询提供有效的依据。本文介绍如何查看内网访问审计日志、管理员操作日志、互联网行为管理审计日志,及超额注册申请日志、卸载申请日志、加速日志、准入日志、防病毒日志。
内网访问审计
常规日志
配置并开启内网访问策略后,如果检测到命中策略的事件,会根据您配置的策略执行相应的操作(例如允许访问或者禁止访问),并将该行为记录在
中,以便您后续查询相关日志。查看日志详情:在目标日志行,单击右侧操作列的详情。查看目标数据命中情况、基本信息、访问情况、终端情况等。
查看目标用户的设备列表、授权应用和运维异常:单击目标用户名,进入该用户的日志汇总页面,展示的信息如下。
功能区 | 功能描述 | 支持的操作 |
数据统计(图示①) | 展示目标用户以下统计数据,通过这些数据,帮助您总体把握该用户的访问行为:
| 查看详细列表信息: 单击目标统计数值,可与下方的详细列表联动,查看该数值的详细列表信息。 |
详细列表(图示②) | 根据数据统计的类别,您可以从设备、授权应用、运维异常三个类别来查看数据的详细列表。 | 查看风险说明: 单击目标信息右侧操作列的详情,查看风险说明,帮助您定位问题。 |
Web应用访问日志
SASE支持对Web应用访问加固,包含安全校验(针对Host请求头进行检测,防止恶意绕过)、访问溯源(HTTP Header中增加用户名等信息用于访问溯源)。
在配置办公应用。
页签,查看触发Web应用访问加固的访问日志。关于Web应用访问加固的设置,请参见终端管理
在终端管理页签,查看企业员工使用SASE App时登录注销日志、在线/离线日志、超额注册申请日志、卸载申请日志、终端日志。
您可以在终端管理中下载日志信息。
关于终端设备的详细信息,请参见配置及审批终端注册信息。
敏感文件检测
在敏感文件检测页签,查询企业员工外发的敏感文件日志。关于敏感文件检测的详细信息,请参见通过检测外发文件保障数据安全。
查看检测的敏感文件详细信息:单击详情,可查看指定文件的文件信息、关键信息、敏感报文、命中策略、办公终端、外发途径。
软件管理
在软件管理页签,查看企业员工软件使用申请,以及SASE App发现的违规软件情况。关于软件管理的详细信息,请参见软件管理。
准入日志
在准入日志页签,查询企业员工入网准入日志。关于企业办公网准入的详细信息,请参见配置办公网准入。
管理员操作日志
在管理员操作日志页签,查看管理员对系统执行操作的详细信息,包括操作时间、账号ID、操作来源、操作功能、操作界面、操作类型等。