启用和禁用在活动日志中记录信息

要启用或禁用将 Kaspersky Anti Targeted Attack Platform Web 界面中的用户操作信息记录到活动日志中:

  1. 选择应用程序 Web 界面中的“日志”部分的“用户活动”子部分。
  2. 执行以下操作之一:
    • 如果您想要启用记录有关用户在应用程序 Web 界面中的操作的信息,请设置“事件记录”切换开关至“已启用”位置。
    • 如果您想要禁用记录有关用户在应用程序 Web 界面中的操作的信息,请设置“事件记录”切换开关至“已禁用”位置。

      默认情况下启用此功能。

有关用户操作的信息记录在 user_actions.log 文件中,该文件存储在 Central Node 服务器的 /data/storage/volumes/siem_proxy/log-user-actions/ 目录中。默认情况下,此文件中的记录将保留 90 天,之后将被删除。

要查看活动日志记录,您需要下载 user_actions.log 文件。

您可以配置将应用程序 Web 界面中的用户活动信息记录到远程日志。远程日志被保存到安装了 SIEM 系统的服务器上。必须配置与 SIEM 系统的集成设置 以写入到远程日志。

分布式解决方案模式中,有关应用程序 Web 界面中的用户操作的信息记录在用户管理 Web 界面的同一服务器的日志中。有关影响 SCN 服务器设置的 PCN 服务器用户操作的信息记录在 PCN 服务器日志中。

具有安全审计员角色的用户只能查看用于将信息记录到活动日志的设置。

页面顶部