日志审计功能提供全面的安全事件审计日志,为日后事件追溯、合规查询提供有效的依据。本文介绍如何查看内网访问审计日志、管理员操作日志、互联网行为管理审计日志,及超额注册申请日志、卸载申请日志、加速日志、准入日志、防病毒日志、动态决策日志。
内网访问审计
常规日志
配置并开启内网访问策略后,如果检测到命中策略的事件,会根据您配置的策略执行相应的操作(例如允许访问或者禁止访问),并将该行为记录在中,以便您后续查询相关日志。
查看日志详情:在目标日志行,单击右侧操作列的详情。查看目标数据命中情况、基本信息、访问情况、终端情况等。
查看目标用户的设备列表、授权应用和运维异常:单击目标用户名,进入该用户的日志汇总页面,展示的信息如下。
功能区 | 功能描述 | 支持的操作 |
数据统计(图示①) | 展示目标用户以下统计数据,通过这些数据,帮助您总体把握该用户的访问行为:
| 查看详细列表信息: 单击目标统计数值,可与下方的详细列表联动,查看该数值的详细列表信息。 |
详细列表(图示②) | 根据数据统计的类别,您可以从设备列表、授权应用、运维异常三个类别来查看数据的详细列表。 | 查看风险说明: 单击目标信息右侧操作列的详情,查看风险说明,帮助您定位问题。 |
Web应用访问日志
SASE支持对Web应用访问加固,包含安全校验(针对Host请求头进行检测,防止恶意绕过)、访问溯源(HTTP Header中增加用户名等信息用于访问溯源)。
在页签,查看触发Web应用访问加固的访问日志。关于Web应用访问加固的设置,请参见配置办公应用。
上网行为审计
在上网行为审计页签,查看企业员工网站访问记录。
终端管理
在终端管理页签,查看企业员工使用SASE App时的登录注销日志、在线/离线日志、超额注册申请日志、卸载申请日志、终端日志、软件使用申请及违规软件发现等日志信息。
关于终端设备的详细信息,请参见配置及审批终端注册信息。
关于软件管理的详细信息,请参见软件管理。
敏感文件检测
在敏感文件检测页签,查询企业员工外发的敏感文件日志。关于敏感文件检测的详细信息,请参见通过检测外发文件保障数据安全。
行为智能分析
对于敏感文件外发的审计日志,支持对敏感文件外发行为进行AI分析,涵盖屏幕截图外传、截图内容识别、敏感信息判定、用户动作意图分析及数据泄露风险评估等多个维度。
单击目标审计日志AI分析列的
。在行为智能分析面板中,查看智能分析结果。
查看敏感文件检测详情
单击目标审计日志操作列的详情
在详情面板中,查看数据流转、关键信息、敏感报文、截图取证、命中策略、办公终端、外发途径、账号信息等。
准入日志
在准入日志页签,查询员工认证日志、哑终端认证日志及访客认证日志。关于企业办公网准入的详细信息,请参见配置网络准入。
动态决策日志
在动态决策日志页签,查看企业员工动态决策的处置和恢复操作日志。
管理员操作日志
在管理员操作日志页签,查看管理员对系统执行操作的详细信息,包括操作时间、账号ID、操作来源、操作功能、操作界面、操作类型等。
