安全审计
更新日期:2025-01-21 14:50:44
1. 功能介绍
日志审计是企业日常信息安全管理中最为重要的环节,向日葵【安全审计】功能对日常的运维事件生成日志记录,包括远控事件信息、控制端和客户端日志,可以起到监控预防和事后追溯的作用。
在日常的运维工作中,管理员可以从审计日志中及时发现各类安全隐患,快速对隐患进行处理,从而避免安全事件的发生。
当出现违规操作、设备运行异常或安全事件时,管理员可以通过安全审计产生的日志记录,分析设备、事件、登录时间/地点等因素,追溯安全事件的轨迹;可以对事件记录进行细粒度审计,还原操作的真相。
1.1 远控日志时效
不同等级服务支持查看的远控日志时效如下表:
服务 | 安全审计功能 | 日志时效 |
---|---|---|
瓜子会员/超级会员 | 仅本地日志 | / |
青春/行业版 | 云日志 | 30天 |
办公Pro | 云日志 | 30天 |
企业+版 | 云日志 | 180天 |
2. 审计日志
2.1 远控日志
操作路径:管理平台->【审计日志】->【远控日志】
(1)功能说明
【远控日志】功能,准确记录每项操作行为,企业管理者可全面掌控企业内部设备远控情况。支持查询/导出近180天内详细的远控日志记录,单次查询最多可查5万条,包括通过设备列表和识别码方式的远控,当发生安全问题或异常情况时通过远控日志排查。
远控“事件”类型包含:桌面控制(桌面控制+桌面观看)、远程文件、远程CMD、远程摄像头。
(2)补充说明
①旧账号体系:记录的是当前账号远控设备的详细记录
②新账号体系:记录当前账号和账号管理中的员工账号远控设备的详细记录;且用员工账号远控时,控制端账号会记录为员工账号的信息,而非超管账号
(3)版本要求
若您发现管理平台未记录对应日志信息,请检查所使用的控制端版本是否符合要求:
①Android控制端 V12.0及以上版本
②iOS控制端 V12.0及以上版本
③Windows企业控制端 V5.6.1及以上版本
2.2 被控日志
操作路径:管理平台->【审计日志】->【被控日志】
记录本账号下设备的被控记录,包括通过设备列表和识别码方式远控,单次查询最多可查5万条。
被控事件指:桌面控制(桌面控制+桌面观看)、远程文件、远程CMD、远程摄像头。
2.3 控制端日志
控制端日志包括最近登录记录和登录告警记录。
操作路径:管理平台->【审计日志】->【控制端日志】
2.3.1 最近登录记录
“最近登录记录”可查看近30天内控制端的登录记录,内容包括控制端的登录时间、设备名称、控制端的账号名、登录地的IP地址及登录应用等。
管理员可以通过查询账号的登录时间、登录地点和登录平台,以此判断账号是否存在安全问题。
【注意】当前仅支持查看Windows企业版控制端5.4.1及以上版本的登录记录,若您在查询时发现日志缺失,请尝试将控制端升级到最新版本。
2.3.2 登录告警记录
系统检测到控制端登录异常(异地登录)时,会触发登录告警。若非本人已知情况的登录操作,建议修改账号的密码。
【说明】异地登录:同台设备在不同地区登录相同账号
2.4 客户端日志
操作路径:管理平台->【审计日志】->【客户端日志】
“客户端日志”记录向日葵客户端近30天的登录日志(上线、下线),当发生安全事件或异常情况时,可通过客户端日志排查和定位问题。
客户端日志包含以下信息内容:事件(上线和下线)、登录时间、客户端账号、设备名称、登录IP、登录应用。
2.5 操作日志
操作路径:管理平台->【审计日志】->【操作日志】
“操作日志”记录操作员账号所操作的记录,单次查询最多可查5万条。
操作日志包括以下信息内容:操作员账号、时间、对象、详情、操作类型、结果、IP地址。
2.6 服务器周报
操作路径:管理平台->【审计日志】->【服务器周报】
点击“服务器周报”可查看带宽使用统计、在线量统计及客户端连接数统计。支持在可查看日期范围内的周报导出。
注:仅企业+账号服务支持服务器周报功能。
好了,向日葵安全审计功能就先介绍到这里,若您在使用过程中存在问题,可前往官网提交工单咨询向日葵技术工程师获得帮助。
文档内容是否对您有帮助?
如果遇到产品相关问题,您可咨询 在线客服 寻求帮助。