檢視次數:
要使用日誌檢查,請執行以下部分中的步驟。
注意
注意
您需要工作負載許可證才能啟用日誌檢查。
如需查看日誌檢查模組的防護總覽,請參閱 分析日誌

開啟日誌檢查模組 上層主題

步驟

  1. 前往Policies
  2. 雙擊您想啟用日誌檢查的策略。
  3. 點選 Log Inspection General
  4. 對於Log Inspection State,選擇開啟
  5. 點選 儲存

接下來需執行的動作

執行推薦掃瞄 上層主題

應設定規則以收集與您需求相關的安全事件。如果設置不當,當觸發和存儲過多日誌條目時,此功能的事件可能會使Server & Workload Security保護資料庫不堪重負。在電腦防護上運行推薦掃瞄,以獲取適用規則的建議。

步驟

  1. 前往Computers並雙擊適當的電腦防護。
  2. 點選 Log Inspection General
  3. 對於Automatically implement Log Inspection Rule Recommendations (when possible),您可以通過選擇來決定Server & Workload Security保護是否應該實施其發現的規則。
  4. Recommendations 部分,點選 Scan For Recommendations。一些由趨勢科技編寫的日誌檢查規則需要本地配置才能正常運行。如果您指派其中一個規則到您的電腦或其中一個規則被自動指派,將會發出警報通知您需要進行配置。

接下來需執行的動作

如需有關建議掃描的詳細資訊,請參閱 管理和執行建議掃描

套用建議的日誌檢查規則 上層主題

Server & Workload Security保護 附帶許多涵蓋各種作業系統和應用程式的預定義規則。當您執行建議掃瞄時,您可以選擇讓 Server & Workload Security保護自動實施建議的規則,或者您可以選擇手動選擇並指派規則,請按照以下步驟操作:

步驟

  1. 前往Policies
  2. 雙擊您要配置的政策。
  3. 點選 Log Inspection General
  4. Assigned Log Inspection Rules部分,顯示了該政策生效的規則。要新增或移除日誌檢查規則,請點選Assign/Unassign
    2016-07-07_000119_DS10=812fe353-f936-46c0-b9ff-3742ef9097b2.png
  5. 選取或取消選取您要指派或未指派的規則的複選框。您可以通過右鍵單擊規則並選擇Properties來本地編輯規則,或選擇Properties (Global)將更改應用於使用該規則的所有其他策略來編輯日誌檢查規則。欲了解更多詳細資訊,請參閱檢查日誌檢查規則
  6. 點選 確定

接下來需執行的動作

雖然 Server & Workload Security保護 附帶許多常見操作系統和應用程式的日誌檢查規則,但您也可以選擇建立您自己的自訂規則。要建立自訂規則,您可以使用「基本規則」範本,或者您可以使用 XML 撰寫新規則。如需有關如何建立自訂規則的資訊,請參閱 為政策定義日誌檢查規則

測試日誌檢查 上層主題

在繼續進行進一步的日誌檢查配置步驟之前,請測試規則是否正常運作:

步驟

  1. 確保日誌檢查已啟動。
  2. 前往 Computer or Policies editor Log Inspection Advanced。將 Store events at the Agent/Appliance for later retrieval by DSM when they equal or exceed the following severity level 更改為 Low (3) 並點選 儲存
  3. 前往General標籤,然後點選Assign/Unassign。搜尋並啟用:
    • 1002792 - Default Rules Configuration – 這是所有其他日誌檢查規則運作所需的。
    如果您是 Windows 使用者,請啟用:
    • 1002795 - Microsoft Windows Events – 每次 Windows 審計功能註冊事件時,這會記錄事件。
    如果您是 Linux 使用者,請啟用:
    • 1002831 - Unix - Syslog - 這會檢查系統日誌中的事件。
  4. 點選確定,然後點選儲存以將規則應用於政策。
  5. 嘗試使用不存在的帳戶登錄伺服器。
  6. 前往Events & Reports Log Inspection Events以驗證失敗登入嘗試的記錄。如果檢測到記錄,則日誌檢查模組運作正常。

接下來需執行的動作

配置日誌檢查事件轉發和存儲 上層主題

當日誌檢查規則被觸發時,會記錄一個事件。要查看這些事件,請前往 Events & Reports Log Inspection EventsPolicy editor Log Inspection Log Inspection Events。有關處理日誌檢查事件的詳細資訊,請參閱 日誌檢查事件
根據事件的嚴重性,您可以選擇將它們發送到 Syslog 伺服器(有關啟用此功能的資訊,請參閱 將 Server & Workload Security保護 事件轉發到外部 Syslog 或 SIEM 伺服器。)或使用嚴重性剪輯功能將事件存儲在資料庫中。
有兩個「嚴重性剪裁」設定可用:
  • Send Agent events to syslog when they equal or exceed the following severity level: 此設定決定由這些規則觸發的哪些事件會被發送到 Syslog 伺服器,如果 Syslog 已啟動。
  • Store events at the Agent for later retrieval by Workload Security when they equal or exceed the following severity level: 此設定決定哪些日誌檢查事件會保留在資料庫中並顯示在Log Inspection Events頁面。
要配置嚴重性剪裁:

步驟

  1. 前往Policies
  2. 雙擊您要配置的策略。
  3. 點選 Log Inspection Advanced
  4. 對於Send Agent/Appliance events to syslog when they equal or exceed the following severity level,請選擇介於Low (0)Critical (15)之間的嚴重性等級。
  5. 對於Store events at the Agent/Appliance for later retrieval by DSM when they equal or exceed the following severity level,請選擇介於Low (0)Critical (15)之間的嚴重性等級。
  6. 點選 儲存

接下來需執行的動作