Журналы аудита

История аудита теперь содержит подробный журнал действий пользователей и системных событий для повышения наглядности, отчетности и соответствия требованиям. Журналы аудита содержат данные о важных и конкретных действиях пользователей и систем. Они необходимы для регистрации критических действий. Они определяет закономерность и выявляют любые несанкционированные действия. Затем эти действия проверяются.

Компоненты управление питанием, управление исправлениямии отчеты исправлений поддерживаются журналами аудита .

Если для различных исправлений выполняется несколько действий, в таблице они упоминаются как несколько исправлений, а подробности фиксируются в дополнительных сведениях.

Просмотр журналов аудита

Для отображения журналов аудита перейдите в раздел Admin > Журналы аудита.

Журналы аудита

Событие, занесенное в журналы аудита, может иметь или не иметь соответствующих записей с дополнительными сведениями, или возможно, что оно имеет связь с событиями, изменениями значений атрибутов и дополнительными атрибутами.

Для получения дополнительной информации нажмите .

журналы аудита

Для экспорта отчета выберите Все или Выбранные записи в раскрывающемся списке Экспорт в CSV.

Понимание журналов аудита и отслеживания событий

Журналы аудита обеспечивают четкое представление о том, что произошло и почему. Вы можете легко следовать полной последовательности действий и отслеживать любое автоматическое изменение системы до исходной активности пользователя, которая инициировала событие.

Запись и назначение атрибутов событий

Система записывает все действия для тех, кто их инициировал:

  • Действия пользователя: когда пользователь выполняет действие, например, удаление устройства, система назначает запись журнала непосредственно ему (например, выполнено: [адрес эл. почты пользователя]).

  • Системные действия: если действие пользователя автоматически запускает последующие события (например, инициируемое системой удаление связанных данных), система записывает эти отдельные действия как выполненные: System.

Отслеживание всего контекста

Журнал аудита связывает каждое связанное событие в последовательности с помощью уникального ИД трассировки. Эта связь гарантирует, что вы сможете увидеть всю цепочку действий.

Чтобы понять, почему система выполнила действие:

  1. Найдите запись журнала, соответствующую Выполнено: System.

  2. Проверьте журналы в разделе Связанные записи.

Система определяет исходное действие пользователя, которое инициировало цепь событий в этом разделе.

Этот механизм отслеживания гарантирует, что вы всегда будете знать весь контекст каждого изменения системы. Вы всегда можете отследить системное событие до определенного действия пользователя, которое это вызвало.

Для экспорта отчета выберите Все или Выбранные записи в раскрывающемся списке Экспорт в CSV.

Методы доступа к журналам аудита

Платформа Ivanti Neurons предлагает несколько способов получения журналов аудита, распознавая широкий диапазон и масштаб ваших потребностей. Каждый вариант разработан для конкретной ситуации:

  • Быстрое изучение

    Используйте журналы аудита для быстрого устранения неисправностей. Он позволяет выполнять поиск в журналах за 30 дней для диагностики проблем и отслеживания инцидентов по мере их возникновения.

  • Соответствие требованиям

    Запланируйте автоматические отчеты, которые отправляют данные за 90 дней непосредственно на вашу электронную почту. Эта функция идеально подходит для ведения документации, периодических аудитов и долгосрочных проверок.

  • Интеграция управления информацией о безопасности и событий (SIEM)

    Используйте коннектор хранилища Blob-объектов Azure, коннектор Splunk HEC или коннектор Amazon S3 для экспорта журналов в облачное хранилище или загрузки их в сторонние инструменты SIEM. Вы можете настроить коннектор для отправки журналов каждые 30, 45 или 60 минут, что сделает его идеальным способом автоматизации долгосрочного хранения и интеграции с вашим полным стеком мониторинга безопасности.

    Сравнение методов доступа к журналам аудита

    В следующей таблице приведено подробное сравнение различных способов доступа к журналам аудита на платформе Ivanti Neurons:

    Функция/метод Хранение данных Интеграция Наилучший сценарий использования
    Журналы аудита 30 дней Нет Немедленный поиск и устранение неисправностей, активный мониторинг.
    Отчет журналов аудита 90 дней Загрузка вручную из электронной почты Аудиты соответствия, периодической архивации, регулярных проверок.
    Коннектор Azure Blob Storage Непрерывный экспорт журналов каждые 30, 45 или 60 минут SIEM через Azure Централизованное хранилище, интеграция SIEM, агрегация журналов.
    Коннектор Splunk HEC Непрерывный экспорт журналов каждые 30, 45 или 60 минут Splunk Enterprise Расширенная аналитика, центральная корреляция, обнаружение угроз.

    Коннектор Amazon S3

    Непрерывный экспорт журналов каждые 30, 45 или 60 минут

    Amazon S3

    Для дальнейшей обработки журналов, хранящихся в вашем контейнере S3, вы можете использовать ПО Logstack или другой аналогичный инструмент для извлечения журналов из S3 и загрузки их в Elasticsearch. Это обеспечивает беспроблемную интеграцию ваших сохраненных данных журнала с вашим стеком ELK для расширенного поиска и анализа.