配置事件日志

配置事件存储时长和选择要记录的事件类型时,必须考虑到处理服务器上的可用磁盘空间数量。

事件日志中的事件记录设置不影响 Syslog 事件记录设置。

若要配置事件日志设置:

  1. 在应用程序网页界面窗口中,选择 设置 日志和事件 事件 区域。
  2. 邮件流量事件下,执行以下操作:
    1. 记录邮件处理事件下,选择您想要在事件日志中记录的流量处理事件。您可以选择以下选项之一:
      • 全部
      • 已应用删除邮件/删除附件/拒绝操作

      默认选择 全部 选项。

      应用更改后,选定设置将仅应用于事件日志中记录的事件。新的设置不适用于之前记录的事件。
      所选设置将应用于所有集群节点。

    2. 记录有关扫描链接和 MIME 部分的信息下,选择根据扫描链接和反病毒、内容过滤、链接扫描和反钓鱼模块对 MIME 部分的处理结果,要在事件日志中记录的信息。

      您可以选择以下选项之一:

      • 仅适用于其 MIME 部分触发扫描模块的邮件

        日志记录所有邮件的每个 MIME 部分以及触发扫描模块的每个链接的信息。

      • 对于所有邮件

        该日志记录有关每封邮件的每个 MIME 部分和每个链接的扫描信息。

      例如,在邮件中检测到 5 个没有威胁或其他对象的附件,以及触发扫描模块的 10 个链接。如果选择仅适用于其 MIME 部分触发扫描模块的邮件值,则事件日志中仅记录有关 10 个链接的信息。如果选择对于所有邮件值,则有关 5 个附件和 10 个链接的信息将记录在事件日志中。

    3. 如果要将邮件的 MIME 部分的哈希值记录到事件日志中,请打开记录 MIME 部分和附件的哈希拨动开关。 如果启用该选项,则会为每个记录的 MIME 部分和附件添加哈希值。不记录链接的哈希。。
    4. 如果打开记录 MIME 部分和附件的哈希拨动开关,请在哈希算法下拉列表中选择一个值:SHA256MD5SHA1
    5. 最大事件日志大小 (MB) 字段中输入事件日志的大小,当达到大小限制时,早先的记录将被删除。

      默认值:1024 MB。可能的值:从 100 到 2147483647 的整数。

    6. 记录期(天) 字段中,输入应用程序必须在服务器上存储网络流量处理事件的天数。

      默认值:3 天。可能的值:从 1 到 8589934592 的整数。

  3. 应用程序事件 下:
    1. 最大事件日志大小 (MB) 字段中输入事件日志的大小,当达到大小限制时,早先的记录将被删除。

      默认值:1024 MB。可能的值:从 100 到 2147483647 的整数。

    2. 记录期(天) 字段中,输入应用程序必须在服务器上存储应用程序事件的天数。

      默认值:1100 天。

  4. 在“审计事件”下:
    1. 在“审计日志级别”下,选择审核日志的详细程度。您可以选择以下选项之一:
      • 不记录审计事件
      • 记录审计事件,不包含修改参数的信息

        只记录审计事件,不记录修改的参数及其值的信息。

      • 记录审计事件和修改的参数

        将记录审计事件以及修改的参数的新旧值。

      默认值为“记录审计事件,不包含修改参数的信息”。

      无论“审计日志级别”值是什么,KSMG 使用 authpriv(10) 类别将身份验证尝试事件记录到 syslog。记录使用 Kerberos、NTLM 和本地账户身份验证登录应用程序的成功和失败尝试事件。
      如果启用了审核事件日志记录,KSMG 还会使用在“设置日志和事件Syslog”部分中,“标准格式”选项卡上选择的功能将审核日志事件写入 syslog。

    2. 在“最大事件日志大小 (MB)”字段中,输入审核日志的大小,当达到该大小时,将导致删除早期的记录。

      默认值:1024 MB。可能的值:从 100 到 2147483647 的整数。

    3. 在“记录期(天)”字段中,输入应用程序必须在服务器上存储审核事件的天数。

      默认值:1100 天。

    4. 如果事件记录很长,则会将其分成几部分记录在日志中。在“CEF 中修改的设置部分的最大大小(字符)”字段中,输入该部分的最大大小(以 UTF-8 字符为单位)。最小值为 4000;默认值为 4000
  5. 单击 保存

事件日志中的事件记录得到配置。

页面顶部