檢視次數:
代理程式會記錄當保護模組規則或條件被觸發時(即「安全事件」)。代理程式和Server & Workload Security保護也會記錄當管理或系統相關事件發生時(即「系統事件」),例如管理員登入或代理程式軟體升級。事件資料用於填充Server & Workload Security保護中的各種報告和圖表。
要查看事件,請前往 Server & Workload Security保護 中的 Events & Reports

代理程式上的事件日誌在哪裡?

位置資訊因電腦防護的作業系統而異。在 Windows 上,事件日誌儲存在此位置:
C:\Program Data\Trend Micro\Deep Security Agent\Diag
在 Linux 上,事件日誌儲存在這裡:
/var/opt/ds_agent/diag
注意
注意
這些位置資訊僅包含標準級別的日誌;診斷調試級別的日誌有不同的位置資訊。出於效能考量,調試級別的日誌記錄預設未啟動。只有在與趨勢科技技術支援診斷問題時,您才應啟動調試日誌記錄,並確保完成後關閉調試日誌記錄。詳細資訊,請參閱 在 Deep Security Agent (DSA) 上啟動詳細日誌記錄

事件何時會發送到Server & Workload Security保護

大多數在電腦防護上發生的事件會在下一次心跳操作期間發送到Server & Workload Security保護,但以下情況除外,如果通訊設置允許中繼/代理啟動通訊,這些情況將立即發送:
  • 雲端截毒掃瞄伺服器離線
  • 雲端截毒掃瞄伺服器已重新上線
  • 完整性監控掃瞄已完成
  • 已建立完整性監控基準
  • 完整性監控規則中未識別的元素
  • 完整性監控規則的元素在本地平台上不受支持
  • 異常重啟檢測到
  • 磁碟空間不足警告
  • 日誌檢查離線
  • 日誌檢查已重新上線
  • 偵測到偵察掃瞄(如果在Computer or Policy editor Firewall Reconnaissance中已啟動此設定)

事件會儲存多久?

Server & Workload Security保護 保留安全事件 4 週和系統事件 13 週。需要更長事件保留期的客戶應考慮將事件匯出到外部 SIEM。詳細資訊,請參閱 將 Server & Workload Security保護 事件轉發到外部 syslog 或 SIEM 伺服器
事件歷史保留時間:
  • 惡意程式防護事件
  • Application Control 事件
  • 防火牆事件
  • 完整性監控事件
  • 入侵防護事件
  • 日誌檢查事件
  • 網頁信譽評等事件
  • 系統事件
  • 周邊設備存取控管事件

系統事件

所有 Server & Workload Security保護 系統事件都列出並可在 Administration System Settings System Events 標籤中配置。您可以設置是否記錄個別事件以及是否將其轉發到 SIEM 系統。關於系統事件的詳細信息,請參見 系統事件

安全事件

每個防護模組在規則被觸發或其他配置條件滿足時會生成事件。部分安全事件生成是可配置的。關於特定類型的安全事件的資訊,請參閱這些文章:
可以修改電腦防護上生效的防火牆有狀態組態,以啟用或關閉 TCP、UDP 和 ICMP 事件記錄。要編輯有狀態防火牆組態的屬性,請前往 Policies Common Objects Other Firewall Stateful Configurations。記錄選項位於防火牆有狀態組態的 Properties 視窗中的 TCPUDPICMP 索引標籤。欲了解更多防火牆事件的詳細資訊,請參閱 防火牆事件

查看與政策或電腦防護相關的事件

政策編輯器和電腦防護編輯器都為每個防護模組提供Events標籤。政策編輯器顯示與當前政策相關的事件。電腦防護編輯器顯示特定於當前電腦的事件。

查看事件詳情

要查看事件的詳細資訊,請雙擊它。
General 標籤顯示:
  • Time: 根據主機上系統時鐘顯示的時間 Server & Workload Security保護
  • Level: 發生事件的嚴重性等級。事件等級包括 Info警告錯誤
  • Event ID: 事件類型的唯一標識符。
  • Event: 事件名稱(與事件 ID 關聯。)
  • Target: 與事件相關的系統物件將在此處顯示。點擊物件的識別將顯示物件的屬性表。
  • Event Origin: 事件來源的 Server & Workload Security保護 組件。
  • Action Performed By: 如果事件是由使用者啟動的,該使用者的用戶名將顯示在此處。點擊用戶名將顯示User Properties窗口。
  • Manager: Server & Workload Security保護 電腦防護的主機名稱。
  • Description: 如果適用,將在此顯示觸發此事件的具體操作細節。
Tags 標籤頁顯示已附加到此事件的標籤。欲了解有關事件標記的詳細資訊,請參閱 Policies Common Objects Other Tags,以及 應用標籤以識別和分組事件

篩選列表以搜尋事件

Period 工具列讓您篩選列表,只顯示在特定時間範圍內發生的事件。
Computers 工具列可讓您按電腦群組或電腦政策來組織顯示事件日誌條目。
點擊Search Open Advanced Search可切換顯示進階搜尋列。
2016-07-08_000133_DS10=3cd4b1ae-2323-4b3e-8ef0-b7ca27506185.png
點擊搜索欄右側的「添加搜索欄」按鈕(+)將顯示一個額外的搜索欄,這樣您可以對搜索應用多個參數。當您準備好時,按下「提交請求」按鈕(在工具欄右側帶有右箭頭的按鈕)。

匯出事件

您可以將顯示的事件匯出到 CSV 檔案。(分頁將被忽略,所有頁面都會被匯出。)您可以選擇匯出顯示的列表或選定的項目。

改善日誌性能

以下是一些有助於最大化事件收集效能的建議:
  • 減少或關閉對不相關電腦的日誌收集。
  • 考慮在防火牆有狀態配置Properties視窗中,通過禁用某些日誌選項來減少防火牆規則活動的日誌記錄。例如,禁用UDP日誌將消除“未請求的UDP”日誌條目。
相關資訊