檢視次數:
代理會記錄當防護模組規則或條件被觸發時(這稱為安全事件)。代理和伺服器與工作負載保護也會記錄當管理或系統相關事件發生時(這稱為系統事件),例如管理員登入或代理軟體升級。事件資料用於填充伺服器與工作負載保護中的各種報告和圖表。
若要查看事件,請前往伺服器與工作負載保護中的「Events & Reports」

代理程式事件日誌的位置資訊

位置資訊因電腦防護的作業系統而異。在 Windows 上,事件日誌儲存在以下位置:
C:\Program Data\Trend Micro\Deep Security Agent\Diag
在 Linux 上,事件日誌儲存在以下位置資訊:
/var/opt/ds_agent/diag
這些位置資訊僅包含標準級別的日誌;診斷調試級別的日誌有不同的位置資訊。出於效能考量,調試級別的日誌記錄預設未啟動。只有在與趨勢科技技術支援診斷問題時,您才應啟動調試日誌記錄,並確保完成後關閉調試日誌記錄。詳細資訊,請參閱 在 Deep Security Agent (DSA) 上啟動詳細日誌記錄

事件轉發的時間安排

大多數在電腦防護上發生的事件會在下一次心跳操作期間發送到伺服器與工作負載保護,除了以下情況,如果通訊設定允許中繼或代理啟動通訊,則會立即發送:
  • 雲端截毒掃瞄伺服器離線
  • 雲端截毒掃瞄伺服器已重新上線
  • 完整性監控掃瞄已完成
  • 已建立完整性監控基準
  • 完整性監控規則中未識別的元素
  • 完整性監控規則的元素在本地平台上不受支持
  • 異常重啟檢測到
  • 磁碟空間不足警告
  • 日誌檢查離線
  • 日誌檢查已重新上線
  • 偵測到偵察掃瞄(如果在Computer or Policy editor Firewall Reconnaissance中已啟動此設定)

事件保留期限

伺服器與工作負載保護 會保留安全事件四週和系統事件十三週。如果您需要更長的事件保留期,請考慮將事件匯出到外部 SIEM。詳細資訊請參閱 將 伺服器與工作負載保護 事件轉發到外部 syslog 或 SIEM 伺服器
以下事件的事件歷史將被保留:
  • 惡意程式防護事件
  • Application Control 事件
  • 防火牆事件
  • 完整性監控事件
  • 入侵防護事件
  • 日誌檢查事件
  • 網頁信譽評等事件
  • 系統事件
  • 周邊設備存取控管事件

系統事件

所有 伺服器與工作負載保護 系統事件都已列出,並可在 「管理」「System Settings」「系統事件」 標籤中進行配置。您可以設定是否記錄個別事件以及是否將其轉發至 SIEM 系統。關於系統事件的詳細資訊,請參閱 系統事件

安全事件

每個防護模組在規則被觸發或其他配置條件滿足時會產生事件。部分安全事件的生成是可配置的。關於特定類型的安全事件資訊,請參閱以下內容:
可以修改電腦上生效的防火牆有狀態組態,以啟用或關閉 TCP、UDP 和 ICMP 事件記錄。要編輯有狀態防火牆組態的屬性,請前往「策略」「Common Objects」「其他」「Firewall Stateful Configurations」。記錄選項位於防火牆有狀態組態的「內容」視窗中的「TCP」「UDP」「ICMP」標籤中。欲了解更多防火牆事件的詳細資訊,請參閱防火牆事件

檢視與政策或電腦防護相關的事件

「政策」 編輯器和 「電腦防護」 編輯器都為每個防護模組提供 「事件」 標籤。政策編輯器顯示與當前政策相關的事件。電腦防護編輯器顯示特定於當前電腦的事件。

查看事件詳情

要查看事件的詳細資訊,請雙擊該事件。
「一般」索引標籤會顯示下列內容:
  • 時間: 根據主機上 伺服器與工作負載保護 的系統時鐘顯示的時間。
  • Level: 發生事件的嚴重性等級。事件等級包括 「資訊」「警告」「錯誤」
  • Event ID: 事件類型的唯一識別碼。
  • Event: 事件的名稱(與事件 ID 關聯)。
  • 目標: 與事件相關聯的系統物件將在此顯示。點擊物件的識別將顯示物件的屬性。
  • Event Origin: 事件來源的 伺服器與工作負載保護 元件。
  • Action Performed By: 如果事件是由使用者啟動的,該使用者的用戶名將顯示在此處。點擊用戶名將顯示「User Properties」視窗。
  • Manager:伺服器與工作負載保護 電腦的主機名稱。
  • 說明: 如適用,將在此顯示觸發此事件的具體操作細節。
「標籤 (Tags)」 標籤頁顯示已附加到此事件的標籤。欲了解有關事件標記的詳細資訊,請參閱 「策略」「Common Objects」「其他」「標籤 (Tags)」,以及 套用標籤以識別和分組事件

篩選列表以搜尋事件

「期間」 工具列可讓您篩選列表,以僅顯示在特定時間範圍內發生的事件。
「Computers」 工具列可讓您依據電腦群組或電腦政策來組織事件日誌條目的顯示。
點擊Search Open Advanced Search可切換顯示進階搜尋列。
2016-07-08_000133_DS10=3cd4b1ae-2323-4b3e-8ef0-b7ca27506185.png
點擊搜尋欄右側的「Add Search Bar」(+)會顯示一個額外的搜尋欄,讓您可以對搜尋應用多個參數。準備好後,點擊位於右側的「Submit Request」(右箭頭)。

匯出事件

您可以將顯示的事件匯出到 CSV 檔案(分頁將被忽略,所有頁面都會匯出)。您可以選擇匯出顯示的列表或選取的項目。

改善日誌性能

您可以透過以下方式改善事件收集的效能:
  • 減少或關閉對不相關電腦的日誌收集。
  • 考慮在防火牆有狀態配置「內容」中,通過禁用某些日誌選項來減少防火牆規則活動的日誌記錄。例如,禁用 UDP 日誌可以消除未經請求的 UDP 日誌條目。
相關資訊