事件日志（审核日志） |Apstra 4.2 |瞻博网络

事件日志介绍

当用户在 Apstra 环境中工作时，他们的操作会被记录下来。在调查常规使用情况、网络中断和可能的可疑活动时，这些事件日志非常有用。有关收集的信息，请参阅下文。

记录的事件类型
收集的事件详细信息的类型

记录的事件类型

将记录以下事件类型的事件：

表 1：事件类型
事件	描述
登录	用户已登录（成功和失败）。
注销	用户已注销。
蓝图提交	更改已从暂存蓝图应用到活动蓝图。
蓝图还原	暂存蓝图中的更改将被丢弃。
蓝图回滚	暂存蓝图已回滚到以前的版本。
蓝图删除	整个蓝图已删除。
设备配置更改	设备的配置已更改。这包括 Apstra 推送到任何托管设备（包括 Time Voyager）的任何配置更改。该事件归因于进行更改的登录用户。
操作模式更改为维护	用户已将蓝图操作模式更改为维护。
Operaton模式更改为正常	蓝图操作模式已由用户更改为正常，或者在磁盘使用情况和内存低于利用率阈值时由系统更改为正常（操作处于读/写模式）。
操作模式更改为只读	蓝图操作模式已由用户更改为只读，或者在超过利用率阈值时由系统更改为只读（操作处于只读模式）。
速率限制异常添加	添加了速率限制例外。
速率限制异常删除	删除了速率限制例外。
速率限制清除	已清除速率限制。
系统日志创建	系统日志已创建。
系统日志更新	系统日志已更新。
系统日志删除	系统日志已删除。
用户创建	已创建用户配置文件（通过创建或克隆）。
用户更新	用户配置文件已更新。
用户删除	已删除用户配置文件。
AuthAclEnable	访问控制规则已启用。
AuthAClDisable	访问控制规则已禁用。
AuthAclRuleAdd	添加了访问控制规则。
AuthAclRuleUpdate	访问控制规则已更新。
AuthAclRuleDelete	已删除访问控制规则。

收集的事件详细信息的类型

为每个事件记录以下详细信息（如果适用）：

表 2：事件详细信息
财产	描述
时间范围	事件发生的时间范围（将鼠标悬停在时间字段上以查看日期和时间）。
用户	执行活动的用户、系统或用户名（如 admin）。
用户 IP 地址	与进行更改的用户关联的 IP 地址。
类型（事件）	事件的类型（如上表中所列）。
蓝图名称（蓝图 ID）	进行更改的蓝图的 ID。
蓝图提交消息	已提交到蓝图的更改的说明（如果提供）。
设备密钥（设备 ID）	通常为进行更改的受管设备的序列号。
设备配置	推送并应用到设备的配置。
结果	活动的结果。成功意味着系统接受操作。如果出现错误，则会包含错误字符串（例如，未经授权）。

搜索事件日志

从左侧导航菜单中，导航到“平台>事件日志”以转到记录的事件表。（以下屏幕截图适用于 Apstra 版本 4.2.1。Apstra 版本 4.2.0 不包含查询构建器，左侧导航菜单看起来略有不同。
默认情况下，该表显示 25 个最新事件。若要更改显示的事件数，请单击“表设置”按钮（位于“查询”按钮下方），然后从下拉列表中选择一个数字。
如果您使用的是 Apstra 4.2.0 版本，请单击全部查询，从可用的搜索字段中输入/选择您的查询。您可以在某些字段中输入多个值;将返回与所有字段的条件匹配的事件。点击应用即可获得结果。

注意：
在 Apstra 版本 4.2.0 中，事件日志基于事件数。最多可保留 10,000 个事件。它们作为第二个存储库写入日志轮换的文件。您可以在 Apstra 服务器配置文件（）/etc/aos/aos.conf 中配置 logrotate 参数。
其余步骤适用于 Apstra 版本 4.2.1。事件日志基于在指定时间段内记录的事件。默认情况下，GUI 中会显示前 4 周的事件。您可以在“从时间范围”和“到”字段中调整此时间范围。事件将保留 1 年或 3GB 的数据，以先到者为准。
单击筛选器字段中的查询生成器按钮，单击属性下拉列表，然后选择一个属性（用户、用户 IP 地址、类型、蓝图名称、设备密钥、结果）。
从“关系”下拉列表中选择一个关系（in、not in、等于、不等于），然后选择或输入一个或多个值。
要添加另一个筛选器，请单击加号按钮，从谓词下拉列表中选择谓词（AND、OR），然后以与第一个查询相同的方式添加查询。根据需要添加任意数量的过滤器。
点击确认结果。

除了如上所述使用 Apstra GUI 搜索事件外，您还可以使用 API （/api/audit/events）。

将事件日志导出为 CSV 文件

从左侧导航菜单中，导航到平台>事件日志，然后单击导出为 CSV（右上角）。
若要筛选要导出的数据，请输入查询。
单击另存为 CSV 文件以下载 CSV 文件。

将事件日志发送到外部系统日志服务器

有关使用 Syslog 协议将事件日志发送到外部系统的详细信息，请参阅系统日志配置。

解析 Apstra 日志

Apstra 使用通用事件格式（CEF），这是一种用于事件或日志生成设备和应用程序互操作性的标准。该标准定义了日志记录的语法。它包括一个标准前缀和一个格式化为键值对的变量扩展。

Apstra 日志格式
审核日志字段
异常 JSON 字段
异常日志示例

Apstra 日志格式

哪里：

version 始终为“0”
device_vendor 始终为“Apstra”
device_product 始终为“Apstra”
device_version 是当前的 Apstra 版本
device_event_class_id 审核日志为“100”，异常日志为“101”
name 对于审核日志，始终为“审核偶数”，对于异常日志始终为“警报”
severity 对于审核日志始终为“中”，对于异常日志始终为“非常高”

其中：

{扩展名} 为：
- 对于异常日志：msg=<json 有效负载>
- 对于审核日志：cat=<activity> src=<src_IP> suser=<username> act=<activity result> cs1Label=<field1_type> cs1=<field1_value>cs2Label=<field2_type> cs2=<field2_value> cs3Label=<field2_type> cs2=<field2_value>

审核日志字段

表 3：审核日志字段
田	描述	适用于
猫	执行的活动。有效值：“登录”、“注销”、“蓝图提交”、“设备配置更改”、“蓝图删除”。	所有消息
SRC	发出 HTTP 请求的客户端的源 IP	所有消息
用户	谁执行了活动	所有消息
做	活动的结果 - 自由格式字符串。“成功”是指系统接受操作。如果出现错误，请包含错误字符串。例如：未经授权	所有消息
cs1标签	字符串“蓝图名称”	cat = “BlueprintCommit” 或 “BlueprintDelete”
CS1	已对其采取措施的蓝图的名称。	cat = “BlueprintCommit” 或 “BlueprintDelete”
cs2标签	字符串“蓝图 ID”	cat = “BlueprintCommit” 或 “BlueprintDelete”
CS2	对其采取措施的蓝图的 ID。	cat = “BlueprintCommit” 或 “BlueprintDelete”
cs3标签	字符串“提交消息”。仅当用户添加了提交消息时才存在（可选）	cat = “BlueprintCommit” 或 “BlueprintDelete”
CS3	提交消息。仅当用户添加了提交消息时才存在（可选）	Cat = “蓝图提交”
设备外部标识	已对其执行操作的受管设备的 ID（通常为序列号）。	Cat = “DeviceConfigChange”
设备配置	在设备上推送和应用的配置，其中“#012”用于向日志收集器和解析器指示换行符。	Cat = “DeviceConfigChange”

异常 JSON 字段

表 4：异常 JSON 字段表
田	描述	适用于
你blueprint_label”	字符串。引发异常的蓝图的名称。	所有消息
u'timestamp'	字符串。引发异常的蓝图的名称。	所有消息
你origin_name	字符串。引发异常的蓝图的名称。	所有消息
你'警报'	该值是具有实际异常的 JSON 有效负载（请参阅下表）
你origin_hostname”	字符串。异常影响的设备的主机名。	所有消息
你device_hostname	字符串。异常影响的设备的主机名。	所有消息
你origin_role	字符串。异常影响的设备的主机名。	所有消息

表 5：主要消息格式
田	描述	适用于
你first_seen	字符串。首次引发异常时的 Unix 时间戳。	所有消息
你'养育'	永远正确	所有消息
u'严重性	异常的严重性级别。在今天的 Apstra 中，所有异常都会以严重性级别 3 引发。	所有消息

在此页面上

事件日志（审核日志）

事件日志介绍

记录的事件类型

收集的事件详细信息的类型

搜索事件日志

将事件日志导出为 CSV 文件

将事件日志发送到外部系统日志服务器

解析 Apstra 日志

Apstra 日志格式

审核日志字段

异常 JSON 字段

异常日志示例

IBA 异常 “MLAG 异常”

IBA 异常“意外主机名”

用户注销和日志记录

蓝图删除

蓝图提交

设备配置更改

设备配置