查看审计日志
审核日志包含有关使用 ATP 云 Web 门户成功完成的登录活动和特定任务的信息。审核日志条目包括有关用户启动的任务的详细信息,例如用户名、任务名称、任务详细信息以及任务执行的日期和时间。管理员可以查看特定时间跨度的审计日志,搜索和筛选审计日志,以及以逗号分隔值 (CSV) 格式导出审计日志。
若要查看审核日志,您必须具有审核日志管理员权限。
审计日志的保留期为五年。
要查看审核日志,请执行以下作:
田 |
描述 |
|---|---|
时间戳 |
审核日志文件的时间戳,该文件以 UTC 时间存储在数据库中,但映射到客户端计算机的本地时区。 |
用户名 |
启动任务的用户的用户名。 |
行动 |
触发审核日志的任务的名称。 |
详 |
有关所执行任务的详细信息。 单击详细信息链接可查看有关任务的更多详细信息。 |
田 |
描述 |
|---|---|
时间戳 |
审核日志文件的时间戳,该文件以 UTC 时间存储在数据库中,但映射到客户端计算机的本地时区。 |
用户名 |
启动任务的用户的用户名。 |
行动 |
触发审核日志的任务的名称。请参见 表3。 |
触发审核日志的作 |
审核日志详细信息列中显示的字段 |
|---|---|
创建应用程序令牌 |
{'令牌 ID': , '令牌名称': , '令牌描述': } |
更新应用程序令牌 |
{“token id”: , “token name”: , “token description”: } |
删除应用程序令牌 |
{“令牌 ID”: } |
用户登录 |
{“role”: , “客户端 ip”: , “XFF”: } |
用户注销 |
{“role”: , “客户端 ip”: , “XFF”: } |
请求注册 slax 脚本 |
{“注册自”: } |
请求取消注册 slax 脚本 |
{“注册自”: } |
SRX 注册完成(或)SRX 取消注册完成 |
{'序列号': , '型号': , '版本': , '主机': , '注册自': } |
SRX 注册完成(或)SRX 取消注册完成 |
{'序列号': , '型号': , '版本': , '主机': , '注册自': } |
报告威胁源服务器 |
{“cc 服务器”: , “报告类型”: } |
创建文件检查配置文件 |
{“配置文件名称”: } |
更新文件检查配置文件 |
{“配置文件名称”:, “配置文件 ID”: , '类别阈值': , '禁用类别': } |
删除文件检查配置文件 |
{“配置文件名称”: } |
创建注册命令 |
|
创建取消注册命令 |
|
删除设备 |
{'devices': } |
删除设备统计数据 |
{'devices': } |
删除设备 |
{“设备”: } |
注册设备 |
{“设备”: } |
取消注册设备 |
{“设备”: } |
将设备附加到组织 |
{“device”: , “组织”: } |
将设备与组织分离 |
{“device”: , “组织”: } |
管理员对被阻止的附件执行的作 |
{“action”: , “id”: } |
管理员对隔离电子邮件的作 |
{“action”: , “id”: } |
用户对被阻止的附件执行的作 |
{“action”: , “id”: } |
用户对隔离电子邮件的作 |
{“action”: , “id”: } |
更新隔离的电子邮件配置 |
{“smtp”: {}, ... } |
更新被阻止的附件配置 |
{“imap”: {}, ... } |
更新被阻止的附件配置 |
{“server_list”: } |
更新被阻止的附件配置 |
{'domain_name': } |
删除被阻止的附件配置 |
{'domain_name': } |
更新隔离的电子邮件配置 |
{'release_option': , 'release_email': , 'replacement_link_text': , 'replacement_subject': , 'replacement_body': , 'learn_more_url': } |
更新被阻止的附件配置 |
{'notification_link_text': , 'notification_subject': , 'notification_body': , 'learn_more_url': , 'unblock_email': } |
更新管理员阻止的附件通知 |
{'notify_email': , 'notify_block': , 'notify_unblock': } |
删除管理员阻止的附件通知 |
{'notify_email': , ....} |
更新管理员隔离电子邮件通知 |
{'notify_email': , 'notify_quarantine': , 'notify_release': } |
删除管理员隔离电子邮件通知 |
{'notify_email': , ....} |
报告加密流量服务器 |
{“eta server”: , “报告类型”: } |
将数据添加到加密流量许可名单 |
[ {“value”: , } ...] |
更新加密流量白名单数据 |
{“现有值”: , “新值”: } |
从加密流量许可名单中删除数据 |
{“删除值”: } |
更新受感染的主机威胁级别阈值 |
{“主机阈值”: } |
更新 TAXII 共享阈值 |
{“出租车门槛”: , “出租车共享”: } |
更新主机事件和恶意软件日志记录 |
{“主机状态”: , “恶意软件状态”: } |
更新 MIST 集成状态 |
{“mist状态”: } |
创建受感染的主机电子邮件配置 |
{“email”: , “电子邮件阈值”:} |
更新受感染的主机电子邮件配置 |
{“email”: , “电子邮件阈值”: } |
删除受感染的主机电子邮件配置 |
{“电子邮件”: } |
将数据添加到哈希 |
{'有效哈希': ,'唯一哈希': , '无效哈希': } |
替换哈希数据 |
{'有效哈希': ,'唯一哈希': , '无效哈希': } |
从哈希中删除数据 |
{“哈希”: } |
从哈希中删除数据 |
{'valid_hashes': , 'invalid_hashes': } |
更新主机调查状态 |
{“主机 IP”: , “inv status”: , “policy”: , “label”: } |
更新主机调查状态 |
{“主机 IP”: , “inv status”: , “policy”: , “label”: } |
记录主机跟踪记录 |
|
更新 SecIntel 第三方源配置 |
{“feeds”: [{“feed_name”: , “feed_in_ha”: }, ... ]} |
请求重置密码 |
|
密码重置成功 |
|
更新代理 |
{'代理 IPS': } |
删除代理 |
{'代理 IPS': } |
创建组织 |
{“组织”: } |
删除组织事件数据 |
{“组织”: } |
将数据添加到 C&C 服务器 [allowlist|blocklist] |
[ {'value': ,'user_comments':}, ....] |
从 C&C 服务器中删除数据 [allowlist|blocklist] |
[ {'value': ,'user_comments':}, ....] |
将数据添加到 C&C 服务器 [allowlist|blocklist] |
{“文件名”: , “数据”: } |
从 C&C 服务器中删除数据 [allowlist|blocklist] |
{“文件名”: , “数据”: } |
更新C&C服务器数据 [allowlist|blocklist] |
{“条目 ID”: , “值”: } |
从 C&C 服务器中删除数据 [allowlist|blocklist] |
{“entry”: , “value”: , “last_updated”: , “user_comments”: , “submitted_by”: } |
报告文件提交 |
{“提交 ID”: , “报告类型”: , '已提交': } |
用户手动上传的文件 |
{“提交 ID”: , “用户评论”: , “文件名”: , “已提交”: , “威胁级别”: } |
创建用户配置文件 |
{'first_name': , 'last_name': , “用户名”: } |
更新用户配置文件 |
{'first_name': , 'last_name': , “用户名”: } |
更新用户配置文件 |
{'first_name': , 'last_name': , “用户名”: } |
更新用户配置文件 |
{'first_name': , 'last_name': , “用户名”: } |
更新用户配置文件 |
{'first_name': , 'last_name': , “用户名”: } |
删除用户配置文件 |
{“用户名”: } |
更改用户密码 |
|
提交用户反馈 |
{“feedback_type”: } |
将数据添加到 [URL|IP] [allowlist|阻止列表] |
{“added_values”: } |
更新 [allowlist|blocklist] 的数据 |
{“以前的值”: , “新值”: } |
从 [allowlist|blocklist] 中删除数据 |
{“删除值”: } |
替换 [allowlist|blocklist] 数据 |
{“data”: [ {'value': }, ...]} |
替换 [allowlist|blocklist] 数据 |
{“data”: [ {'value': }, ...]} |
更新 [allowlist|blocklist] 数据 |
{operation: }作可以是“添加”或“删除” |
更新 [allowlist|blocklist] 数据 |
{operation: }作可以是“添加”或“删除” |
更新 [allowlist|blocklist]data |
{operation: }作可以是“添加”或“删除” |
更新 [allowlist|blocklist] 数据 |
{operation: }作可以是“添加”或“删除” |
更新 [allowlist|blocklist] 数据 |
{operation: , “file name”: }作可以是 'add' 或 'remove' |
更新 [allowlist|blocklist] 数据 |
{operation: , “file name”: }作可以是 'add' 或 'remove' |
用户登录 |
{“role”: , “客户端 ip”: , “XFF”: } |
SRX 发起的注册 |
{“version”: , “model”: , “organization”: } |
SRX 发起的退注册 |
{“version”: , “model”: , “organization”: } |
删除设备 |
{“设备”: } |
删除设备 |
{“devices”: } |
更新受感染的主机过期 |
data = {“expiry config”: , “ips”: [ {“value”: }, ...] } |
更新多重身份验证 |
{“MFA 方法”: , “MFA 时期”: } |
请求多重身份验证代码 |
{“mfa_method”:} |
验证多重身份验证代码 |
|
请求 MFA OTP 更改 |
|
强制执行 MFA OTP 更改 |
|
请求 MFA OTP 注册 |
|
强制 MFA OTP 注册 |
|
删除 MFA OTP |
|
请求 MFA OTP 重置 |
|
强制执行 MFA OTP 重置 |
|
更新用户的电话号码 |
{“phone”: } |
验证更新的电话号码 |
|
添加新电话号码 |
{“phone”: } |
验证新电话号码 |
|
删除用户电话号码 |
|
附加组织 |
{“organization”: ,“关联组织”: } |
分离组织 |
{“organization”: ,“已解除关联的组织”: } |
创建报告 |
{ {“reports_api”: , ...}, “report_id”: } |
创建报表定义 |
{“duration”: , “recurrence”: , “name”: , “定义类型”:} |
更新报表定义 |
{“name”: , “type”: , “duration”: , “recurrence”: } |
删除报表定义 |
{“name”: } |
删除报表 |
{“报告 ID”: } |
创建自适应威胁分析信息源 |
{“feed type”: , “ttl”: , “受感染的主机源”: , “源类别”: , “源名称”: } |
删除排除的自适应威胁分析源条目 |
{“删除条目”: } |
添加排除的自适应威胁分析源条目 |
{“feed name”: , “已添加条目”: } |
添加用户排除的自适应威胁分析源条目 |
{“feed name”: , “已添加条目”: } |
更新自适应威胁分析信息源 |
{“ttl”: , “受感染的主机信息源”: , “信息源名称”: } |
删除自适应威胁分析信息源 |
{“feed name”: } |
如果该字段的值为 none,则该字段不会显示在“审核日志详细信息”页上