审计跟踪
审计跟踪可提供用户活动和系统事件的详细日志,有助于提高可见性、改善责任落实、满足合规性要求。 审计跟踪可追踪用户和系统的重要和特定的操作。 它们会着重于记录关键操作。 它确定一种模式并识别任何未经授权的操作。 然后对这些操作进行审计。
电源管理、修补程序管理和修补程序报告等组件均支持等组件审计跟踪。
当对各个修补程序执行多个活动时,表格会将其称为多个修补程序,并在附加详细信息中捕获详细信息。
查看审计跟踪
要查看审计跟踪,请导航至管理 > 审计跟踪。
审计跟踪中捕获的事件可能有也可能没有带有附加详细信息的相关记录,或者它可能具有相关事件、对属性的值所做的更改以及附加属性。
要查看更多详细信息,请点击 
。
要导出报告,请从导出到 CSV 下拉菜单中选择全部或选定的记录。
了解审计跟踪和事件跟踪
审计跟踪可以清楚地了解发生的事情及其发生的原因。 您可以轻松地遵循完整的操作序列,并将任何自动化的系统更改追溯到触发它的原始用户活动。
事件记录和属性
系统根据执行操作的实体记录所有操作:
-
用户操作:用户执行删除设备等操作时,系统会将日志条目直接归入其中(例如,执行者:[用户电子邮件])。
-
系统操作: 如果用户操作自动触发后续事件(例如,系统发起的相关数据删除),系统会将这些单独的操作记录为执行者:系统。
跟踪完整上下文
审计跟踪使用唯一的跟踪 ID 链接序列中的每个相关事件。 此链接可确保您能跟踪整个活动链。
要了解系统执行操作的原因:
-
找到属于执行者:系统的日志条目。
-
在相关记录部分中检查日志。
系统标识在此部分中发起事件链的原始用户操作。
此跟踪机制确保您始终了解每次系统更改背后的完整上下文。 您始终可以将系统事件追溯到导致该事件的特定用户操作。
要导出报告,请从导出到 CSV 下拉菜单中选择全部或选定的记录。
审计跟踪访问方法
Ivanti Neurons 平台提供多种获取审核日志的方法,可识别您需求的广泛范围和规模。 每个选项都是针对特定情况而设计:
-
快速调查
使用审计跟踪快速进行故障排除。 它允许您搜索 30 天日志,以诊断问题并跟踪发生的事件。
-
监管合规
安排自动报告,将长达 90 天的数据直接发送到您的电子邮件。 此功能非常适合记录保存、定期审计和长期审查。
-
安全信息和事件管理 (SIEM) 集成
利用 Azure Blob 存储连接器或 Splunk HEC 连接器或 Amazon S3 连接器将日志导出到云存储或将其摄取到第三方 SIEM 工具中。 您将连接器配置为每 30、45 或 60 分钟发送一次日志,这使其成为实现长期存储自动化并与您的完整安全监控堆栈集成的理想方式。
比较审计跟踪访问方法
下表为您提供了访问 Ivanti Neurons 平台中审计轨迹的不同方式的详细比较:
特征/方法 数据保留 一体化 最佳用例 审计跟踪 30天 空 立即排除故障,主动监控。 审计跟踪报告 90天 从电子邮件中手动下载 合规审计、定期存档、定期审计。 Azure Blob 存储连接器 每 30、45 或 60 分钟持续导出日志 通过 Azure 的 SIEM 中央存储、SIEM 管道集成、日志聚合。 Splunk HEC 连接器 每 30、45 或 60 分钟持续导出日志 Splunk Enterprise 高级分析、中央关联、威胁检测。 每 30、45 或 60 分钟持续导出日志
Amazon S3
要进一步处理存储在 S3 存储桶中的日志,您可以使用 Logstack 或其他类似的摄取工具从 S3 中提取日志并将其摄取到 Elasticsearch 中。 这样可以将存储的日志数据与 ELK 堆栈无缝集成,从而增强搜索和分析功能。