审核日志

审核事件以标准格式或 CEF 格式的 syslog 消息写入 Web 界面中的审核日志。您必须在审核日志设置中启用审核事件日志记录。

审核事件包括以下类型的事件：

• 规则设置已修改
• 词典设置已修改
• “设置”→“保护”部分中的设置已修改
• 对全局备份中的消息进行的操作
• 身份验证尝试

  如果在应用程序设置中禁用审核事件日志记录，则身份验证事件仍会记录为 authpriv(10) 类别的标准 syslog 消息。

当一个节点从集群中移除时，存储在该节点上的事件也会被删除。

如果审核事件中有关修改设置的记录大小超过 32 KB，则事件记录将被拆分为几部分，每部分小于 32 KB。某个部分容纳不下的字符将被移动到下一部分，而不添加连字符。这意味着单个事件在审核日志中表示为多条记录，每条记录包含相同的事件信息和有关修改设置的部分信息。同一事件的各个部分在“事件部分”字段被编号。事件被拆分成的部分总数在“总事件部分”字段中指定。

要以 syslog 和 CEF 格式记录事件，您需要配置 Syslog ，以便它可以接收 65 KB 消息并支持高频率的事件记录。

本章节内容 查看审核日志 过滤审核事件 查看有关审核事件的信息 导出有关审核事件的信息

页面顶部