1. 功能介绍

日志审计是企业日常信息安全管理中最为重要的环节，向日葵【安全审计】功能对日常的运维事件生成日志记录，包括远控事件信息、控制端和客户端日志，可以起到监控预防和事后追溯的作用。

在日常的运维工作中，管理员可以从审计日志中及时发现各类安全隐患，快速对隐患进行处理，从而避免安全事件的发生。

当出现违规操作、设备运行异常或安全事件时，管理员可以通过安全审计产生的日志记录，分析设备、事件、登录时间/地点等因素，追溯安全事件的轨迹；可以对事件记录进行细粒度审计，还原操作的真相。

1.1 远控日志时效

不同等级服务支持查看的远控日志时效如下表：

2. 审计日志

2.1 远控日志

操作路径：管理平台->【审计日志】->【远控日志】
（1）功能说明
【远控日志】功能，准确记录每项操作行为，企业管理者可全面掌控企业内部设备远控情况。支持查询/导出近180天内详细的远控日志记录，单次查询最多可查5万条，包括通过设备列表和识别码方式的远控，当发生安全问题或异常情况时通过远控日志排查。
远控“事件”类型包含：桌面控制（桌面控制+桌面观看）、远程文件、远程CMD、远程摄像头。

（2）补充说明
①旧账号体系：记录的是当前账号远控设备的详细记录
②新账号体系：记录当前账号和账号管理中的员工账号远控设备的详细记录；且用员工账号远控时，控制端账号会记录为员工账号的信息，而非超管账号

（3）版本要求
若您发现管理平台未记录对应日志信息，请检查所使用的控制端版本是否符合要求：
①Android控制端 V12.0及以上版本
②iOS控制端 V12.0及以上版本
③Windows企业控制端 V5.6.1及以上版本

2.2 被控日志

操作路径：管理平台->【审计日志】->【被控日志】
记录本账号下设备的被控记录，包括通过设备列表和识别码方式远控，单次查询最多可查5万条。
被控事件指：桌面控制（桌面控制+桌面观看）、远程文件、远程CMD、远程摄像头。

2.3 控制端日志

控制端日志包括最近登录记录和登录告警记录。
操作路径：管理平台->【审计日志】->【控制端日志】

2.3.1 最近登录记录

“最近登录记录”可查看近30天内控制端的登录记录，内容包括控制端的登录时间、设备名称、控制端的账号名、登录地的IP地址及登录应用等。
管理员可以通过查询账号的登录时间、登录地点和登录平台，以此判断账号是否存在安全问题。

【注意】当前仅支持查看Windows企业版控制端5.4.1及以上版本的登录记录，若您在查询时发现日志缺失，请尝试将控制端升级到最新版本。

2.3.2 登录告警记录

系统检测到控制端登录异常（异地登录）时，会触发登录告警。若非本人已知情况的登录操作，建议修改账号的密码。

【说明】异地登录：同台设备在不同地区登录相同账号

2.4 客户端日志

操作路径：管理平台->【审计日志】->【客户端日志】
“客户端日志”记录向日葵客户端近30天的登录日志（上线、下线），当发生安全事件或异常情况时，可通过客户端日志排查和定位问题。
客户端日志包含以下信息内容：事件（上线和下线）、登录时间、客户端账号、设备名称、登录IP、登录应用。

2.5 操作日志

操作路径：管理平台->【审计日志】->【操作日志】
“操作日志”记录操作员账号所操作的记录，单次查询最多可查5万条。
操作日志包括以下信息内容:操作员账号、时间、对象、详情、操作类型、结果、IP地址。

2.6 服务器周报

操作路径：管理平台->【审计日志】->【服务器周报】
点击“服务器周报”可查看带宽使用统计、在线量统计及客户端连接数统计。支持在可查看日期范围内的周报导出。
注：仅企业+账号服务支持服务器周报功能。

好了，向日葵安全审计功能就先介绍到这里，若您在使用过程中存在问题，可前往官网提交工单咨询向日葵技术工程师获得帮助。