檢視次數:
如需了解日誌檢查模組的防護總覽,請參閱 關於日誌檢查
注意
注意
您需要工作負載許可證才能啟用日誌檢查。
要使用日誌檢查,請按照以下步驟進行操作:

步驟

  1. 開啟日誌檢查模組
  2. 執行推薦掃瞄
  3. 套用建議的日誌檢查規則
  4. 測試日誌檢查
  5. 配置日誌檢查事件轉發和存儲

開啟日誌檢查模組 上層主題

啟用政策的日誌檢查。

步驟

  1. 前往Policies
  2. 雙擊該政策。
  3. 選擇 Log Inspection General
  4. 選擇 開啟 以進行 Log Inspection State
  5. 按一下「儲存」。

執行推薦掃瞄 上層主題

在電腦上執行建議掃瞄以獲取有關應該應用哪些規則的建議。

套用建議的日誌檢查規則 上層主題

伺服器與工作負載保護 附帶許多預定義的規則,涵蓋各種操作系統和應用程式。當您執行 建議掃瞄 時,您可以選擇讓 伺服器與工作負載保護自動實施建議,或者您可以選擇 手動選擇並指派規則
雖然 伺服器與工作負載保護 附帶了許多常見操作系統和應用程式的日誌檢查規則,但您也可以選擇創建自己的自訂規則。要創建自訂規則,您可以使用基本規則範本,或是以 XML 格式撰寫新的規則。關於如何創建自訂規則的資訊,請參見 定義用於政策的日誌檢查規則

測試日誌檢查 上層主題

在完成日誌檢查配置之前,請測試規則是否正常運作:

步驟

  1. 確保日誌檢查 已啟動
  2. 在電腦防護或政策編輯器中,選擇 Log Inspection Advanced
  3. Store events at the Agent/Appliance for later retrieval by DSM when they equal or exceed the following severity level設置為Low (3),然後點擊儲存
  4. General 標籤中,點擊 Assign/Unassign
  5. 搜尋並啟用 1002792 - Default Rules Configuration。這是所有其他日誌檢查規則正常運作所必需的。
  6. 啟用平台的規則:
    • 對於 Windows,啟用 1002795 - Microsoft Windows Events 以在每次 Windows 審核功能註冊事件時記錄事件。
    • 對於 Linux,啟用 1002831 - Unix - Syslog 以檢查 syslog 中的事件。
  7. 點擊 確定 然後點擊 儲存
  8. 嘗試使用不存在的帳戶登錄伺服器。日誌檢查應該防止此操作。
  9. 前往 Events & Reports Log Inspection Events 以驗證登錄失敗嘗試的記錄。檢測記錄顯示日誌檢查功能正常運作。

配置日誌檢查事件轉發和存儲 上層主題

當事件觸發日誌檢查規則時,伺服器與工作負載保護 會記錄該事件。您可以在 Events & Reports Policy editor 下查看這些日誌檢查事件(請參見 日誌檢查事件)。根據事件的嚴重性,您可以將事件發送到 Syslog 伺服器(請參見 將 伺服器與工作負載保護 事件轉發到外部 Syslog 或 SIEM 伺服器)或使用嚴重性剪裁功能將事件存儲在數據庫中。
要配置嚴重性剪裁:

步驟

  1. 前往 Policies 並雙擊該政策。
  2. 選擇 Log Inspection Advanced
  3. Send Agent/Appliance events to syslog when they equal or exceed the following severity level選擇一個介於Low (0)Critical (15)之間的嚴重性。
    此設定決定當啟用 Syslog 時,哪些由這些規則觸發的事件會被發送到 Syslog 伺服器。
  4. Store events at the Agent/Appliance for later retrieval by DSM when they equal or exceed the following severity level選擇一個介於Low (0)Critical (15)之間的嚴重性。
    此設定決定資料庫保留哪些日誌檢查事件並顯示在 Log Inspection Events 頁面上。
  5. 按一下「儲存」。