查看审核日志
审核日志包含有关使用 ATP 云 Web 门户成功完成的登录活动和特定任务的信息。审核日志条目包括有关用户启动的任务的详细信息,例如用户名、任务名称、任务详细信息以及任务的执行日期和时间。管理员可以查看特定时间跨度的审核日志,搜索和筛选审核日志,以及以逗号分隔值 (CSV) 格式导出审核日志。
若要查看审核日志,必须具有审核日志管理员权限。
审核日志的保留期为五年。
要查看审核日志,请执行以下操作:
领域 |
描述 |
|---|---|
时间 戳 |
以 UTC 时间存储在数据库中但映射到客户端计算机的本地时区的审核日志文件的时间戳。 |
用户 |
启动任务的用户的用户名。 |
行动 |
触发审核日志的任务的名称。 |
细节 |
有关所执行任务的详细信息。 单击详细信息链接可查看有关任务的更多详细信息。 |
领域 |
描述 |
|---|---|
时间 戳 |
以 UTC 时间存储在数据库中但映射到客户端计算机的本地时区的审核日志文件的时间戳。 |
用户 |
启动任务的用户的用户名。 |
行动 |
触发审核日志的任务的名称。详见 表3。 |
触发审核日志的操作 |
审核日志详细信息列上显示的字段 |
|---|---|
创建应用程序令牌 |
{'令牌 ID': , '令牌名称': , '令牌描述': } |
更新应用程序令牌 |
{“令牌 ID”: , “令牌名称”: , “令牌描述”: } |
删除应用程序令牌 |
{“令牌 ID”: } |
用户登录 |
{“角色”: , “客户端 IP”: , “XFF”: } |
用户注销 |
{“角色”: , “客户端 IP”: , “XFF”: } |
请求注册 slax 脚本 |
{“注册自”: } |
请求取消注册 slax 脚本 |
{“注册自”: } |
SRX 注册完成(或)SRX 取消注册完成 |
{'序列号': , '型号': , '版本': , '主机': , '注册自': } |
SRX 注册完成(或)SRX 取消注册完成 |
{'序列号': , '型号': , '版本': , '主机': , '注册自': } |
报告威胁源服务器 |
{“cc 服务器”: , “报告类型”: } |
创建文件检查配置文件 |
{“配置文件名称”: } |
更新文件检查配置文件 |
{“配置文件名称”:, “配置文件 ID”: , “类别阈值”: , “禁用的类别”: } |
删除文件检查配置文件 |
{“配置文件名称”: } |
创建注册命令 |
|
创建取消注册命令 |
|
删除设备 |
{'设备': } |
删除设备统计数据 |
{'设备': } |
删除设备 |
{“设备”: } |
注册设备 |
{“设备”: } |
取消注册设备 |
{“设备”: } |
将设备附加到领域 |
{“设备”: , “领域”: } |
将设备与领域分离 |
{“设备”: , “领域”: } |
管理员对被阻止的附件执行的操作 |
{“操作”: , “id”: } |
管理员对隔离电子邮件的操作 |
{“操作”: , “id”: } |
用户对被阻止的附件执行的操作 |
{“操作”: , “id”: } |
用户对隔离电子邮件的操作 |
{“操作”: , “id”: } |
更新隔离电子邮件配置 |
{“smtp”: {}, ... } |
更新阻止的附件配置 |
{“IMAP”: {}, ... } |
更新阻止的附件配置 |
{“server_list”: } |
更新阻止的附件配置 |
{'domain_name': } |
删除阻止的附件配置 |
{'domain_name': } |
更新隔离电子邮件配置 |
{'release_option': , 'release_email': , 'replacement_link_text': , 'replacement_subject': , 'replacement_body': , 'learn_more_url': } |
更新阻止的附件配置 |
{'notification_link_text': , 'notification_subject': , 'notification_body': , 'learn_more_url': , 'unblock_email': } |
更新管理员阻止的附件通知 |
{'notify_email': , 'notify_block': , 'notify_unblock': } |
删除管理员阻止的附件通知 |
{'notify_email': , ....} |
更新管理员隔离电子邮件通知 |
{'notify_email': , 'notify_quarantine': , 'notify_release': } |
删除管理员隔离的电子邮件通知 |
{'notify_email': , ....} |
报告加密流量服务器 |
{“ETA 服务器”: , “报告类型”: } |
将数据添加到加密流量允许列表 |
[ {“值”: , } ...] |
加密流量允许列表的更新数据 |
{“现有值”: , “新值”: } |
从加密流量允许列表中删除数据 |
{“已删除的值”: } |
更新受感染主机威胁级别阈值 |
{“主机阈值”: } |
更新出租车共享阈值 |
{“出租车阈值”: , “出租车共享”: } |
更新主机事件和恶意软件日志记录 |
{“主机状态”: , “恶意软件状态”: } |
更新 MIST 集成状态 |
{“雾状态”: } |
创建受感染的主机电子邮件配置 |
{“电子邮件”: , “电子邮件阈值”:} |
更新受感染的主机电子邮件配置 |
{“电子邮件”: , “电子邮件阈值”: } |
删除受感染的主机电子邮件配置 |
{“电子邮件”: } |
将数据添加到哈希 |
{'有效哈希': ,'唯一哈希': , '无效哈希': } |
替换哈希数据 |
{'有效哈希': ,'唯一哈希': , '无效哈希': } |
从哈希中删除数据 |
{“哈希”: } |
从哈希中删除数据 |
{'valid_hashes': , 'invalid_hashes': } |
更新主机调查状态 |
{“主机 IP”: , “inv 状态”: , “策略”: , “标签”: } |
更新主机调查状态 |
{“主机 IP”: , “inv 状态”: , “策略”: , “标签”: } |
记录主机跟踪记录 |
|
更新 SecIntel 第三方源配置 |
{“feeds”: [{“feed_name”: , “feed_in_ha”: }, ... ]} |
请求密码重置 |
|
成功重置密码 |
|
更新代理 |
{'proxy ips': } |
删除代理 |
{'proxy ips': } |
创建安全领域 |
{“领域”: } |
删除安全域事件数据 |
{“领域”: } |
将数据添加到C&C服务器[允许列表|阻止列表] |
[ {'value': ,'user_comments':}, ....] |
从C&C服务器中删除数据[允许列表|阻止列表] |
[ {'value': ,'user_comments':}, ....] |
将数据添加到C&C服务器[允许列表|阻止列表] |
{“文件名”: , “数据”: } |
从C&C服务器中删除数据[允许列表|阻止列表] |
{“文件名”: , “数据”: } |
更新C&C服务器的数据[允许列表|阻止列表] |
{“条目 ID”: , “值”: } |
从C&C服务器中删除数据[允许列表|阻止列表] |
{“entry”: , “value”: , “last_updated”: , “user_comments”: , “submitted_by”: } |
报告文件提交 |
{“提交 ID”: , “报告类型”: , “已提交”: } |
用户手动上传的文件 |
{“提交 ID”: , “用户评论”: , “文件名”: , “已提交”: , “威胁级别”: } |
创建用户配置文件 |
{'first_name': , 'last_name': , “用户名”: } |
更新用户配置文件 |
{'first_name': , 'last_name': , “用户名”: } |
更新用户配置文件 |
{'first_name': , 'last_name': , “用户名”: } |
更新用户配置文件 |
{'first_name': , 'last_name': , “用户名”: } |
更新用户配置文件 |
{'first_name': , 'last_name': , “用户名”: } |
删除用户配置文件 |
{“用户名”: } |
更改用户密码 |
|
提交用户反馈 |
{“feedback_type”: } |
将数据添加到 [URL|IP] [允许列表|阻止列表] |
{“added_values”: } |
更新 [允许列表|阻止列表] 的数据 |
{“先前值”: , “新值”: } |
从 [允许列表|阻止列表] 中删除数据 |
{“已删除的值”: } |
替换 [允许列表|阻止列表] 数据 |
{“data”: [ {'value': }, ...]} |
替换 [允许列表|阻止列表] 数据 |
{“data”: [ {'value': }, ...]} |
更新 [允许列表|阻止列表] 数据 |
{操作:} 操作可以是“添加”或“删除” |
更新 [允许列表|阻止列表] 数据 |
{操作:} 操作可以是“添加”或“删除” |
更新 [允许列表|阻止列表] 数据 |
{操作:} 操作可以是“添加”或“删除” |
更新 [允许列表|阻止列表] 数据 |
{操作:} 操作可以是“添加”或“删除” |
更新 [允许列表|阻止列表] 数据 |
{操作: , “文件名”: } 操作可以是“添加”或“删除” |
更新 [允许列表|阻止列表] 数据 |
{操作: , “文件名”: } 操作可以是“添加”或“删除” |
用户登录 |
{“角色”: , “客户端 IP”: , “XFF”: } |
SRX 已启动注册 |
{“版本”: , “模型”: , “领域”: } |
SRX 已启动取消注册 |
{“版本”: , “模型”: , “领域”: } |
删除设备 |
{“设备”: } |
删除设备 |
{“设备”: } |
更新受感染主机过期时间 |
data = {“到期配置”: , “ips”: [ {“value”: }, ...] } |
更新多重身份验证 |
{“MFA 方法”: , “MFA 周期”: } |
请求多重身份验证代码 |
{“mfa_method”:} |
验证多重身份验证代码 |
|
请求更改 MFA OTP |
|
强制实施 MFA OTP 更改 |
|
申请 MFA OTP 注册 |
|
强制实施 MFA OTP 注册 |
|
删除 MFA OTP |
|
请求 MFA OTP 重置 |
|
强制实施 MFA OTP 重置 |
|
更新用户的电话号码 |
{“电话”: } |
验证更新的电话号码 |
|
添加新电话号码 |
{“电话”: } |
验证新电话号码 |
|
删除用户电话号码 |
|
附加领域 |
{“realm”: ,“associated realm”: } |
分离领域 |
{“realm”: ,“disassociated realm”: } |
创建报告 |
{ {“reports_api”: , ...}, “report_id”: } |
创建报表定义 |
{“持续时间”: , “重复周期”: , “名称”: , “定义类型”:} |
更新报表定义 |
{“名称”: , “类型”: , “持续时间”: , “重复周期”: } |
删除报表定义 |
{“名称”: } |
删除报告 |
{“报告 ID”: } |
创建自适应威胁分析源 |
{“源类型”: , “TTL”: , “受感染的主机源”: , “源类别”: , “源名称”: } |
删除排除的自适应威胁分析源条目 |
{“删除条目”: } |
添加排除的自适应威胁分析源条目 |
{“源名称”: , “添加的条目”: } |
添加用户排除的自适应威胁分析源条目 |
{“源名称”: , “添加的条目”: } |
更新自适应威胁分析源 |
{“ttl”: , “受感染的主机源”: , “源名称”: } |
删除自适应威胁分析源 |
{“源名称”: } |
如果字段的值为 none,则该字段不会显示在“审核日志详细信息”页上