审计跟踪
审计跟踪可提供用户活动和系统事件的详细日志,有助于提高可见性、改善责任落实、满足合规性要求。 审计跟踪可追踪用户和系统的重要和特定的操作。 它们会着重于记录关键操作。 它确定一种模式并识别任何未经授权的操作。 然后对这些操作进行审计。
电源管理、修补程序管理和修补程序报告等组件均支持等组件审计跟踪。
当对各个修补程序执行多个活动时,表格会将其称为多个修补程序,并在附加详细信息中捕获详细信息。
查看审计跟踪
要查看审计跟踪,请导航至管理 > 审计跟踪。
审计跟踪中捕获的事件可能有也可能没有带有附加详细信息的相关记录,或者它可能具有相关事件、对属性的值所做的更改以及附加属性。
要查看更多详细信息,请点击 
。
要导出报告,请从导出到 CSV 下拉菜单中选择全部或选定的记录。
审计跟踪访问方法
Ivanti Neurons 平台提供多种获取审核日志的方法,可识别您需求的广泛范围和规模。 每个选项都是针对特定情况而设计:
-
快速调查
使用审计跟踪快速进行故障排除。 它允许您搜索 30 天日志,以诊断问题并跟踪发生的事件。
-
监管合规
安排自动报告,将长达 90 天的数据直接发送到您的电子邮件。 此功能非常适合记录保存、定期审计和长期审查。
-
安全信息和事件管理 (SIEM) 集成
利用 Azure Blob 存储连接器或 Splunk HEC 连接器或 Amazon S3 连接器将日志导出到云存储或将其摄取到第三方 SIEM 工具中。 您将连接器配置为每 30、45 或 60 分钟发送一次日志,这使其成为实现长期存储自动化并与您的完整安全监控堆栈集成的理想方式。
比较审计跟踪访问方法
下表为您提供了访问 Ivanti Neurons 平台中审计轨迹的不同方式的详细比较:
特征/方法 数据保留 一体化 最佳用例 审计跟踪 30天 空 立即排除故障,主动监控。 审计跟踪报告 90天 从电子邮件中手动下载 合规审计、定期存档、定期审计。 Azure Blob 存储连接器 每 30、45 或 60 分钟持续导出日志 通过 Azure 的 SIEM 中央存储、SIEM 管道集成、日志聚合。 Splunk HEC 连接器 每 30、45 或 60 分钟持续导出日志 Splunk Enterprise 高级分析、中央关联、威胁检测。 每 30、45 或 60 分钟持续导出日志
Amazon S3
要进一步处理存储在 S3 存储桶中的日志,您可以使用 Logstack 或其他类似的摄取工具从 S3 中提取日志并将其摄取到 Elasticsearch 中。 这样可以将存储的日志数据与 ELK 堆栈无缝集成,从而增强搜索和分析功能。
重要说明
-
启动远程控制会话时会捕获审计跟踪。 由于系统设计,可能不会显示连接状态和完整的会话详细信息。 审计记录显示启动事件,但可能不包括所有连接结果。
-
由于数据和存储的差异,审计跟踪条目可能不会同时显示在 UI、报告或出站连接器导出中。 有时,您可能会在一个位置看到条目,然后在其他位置看到该条目。 通常,延迟条目包含在下一个计划报告或出站连接器运行中。
-
审计跟踪 UI 和直接导出显示最多 10,000 条记录。 如果需要 30 天的更多记录,请使用报告导出所有条目,或在 UI 中应用筛选器以缩小结果范围。