一、功能介绍
向日葵远程控制软件的日志审计是企业日常信息安全管理中最为重要的环节,【安全审计】功能对日常的运维事件生成日志记录,包括远控事件信息、控制端和客户端日志,可以起到监控预防和事后追溯的作用。
在日常的运维工作中,管理员可以从审计日志中及时发现各类安全隐患,快速对隐患进行处理,从而避免安全事件的发生。当出现违规操作、设备运行异常或安全事件时,管理员可以通过安全审计产生的日志记录,分析设备、事件、登录时间/地点等因素,追溯安全事件的轨迹;可以对事件记录进行细粒度审计,还原操作的真相。
1、远控日志时效
不同等级服务支持查看的远控日志时效如下表:
二、审计日志
1、 远控日志
操作路径:管理平台->【审计日志】->【远控日志】
(1)功能说明
【远控日志】功能,准确记录每项操作行为,企业管理者可全面掌控企业内部设备远控情况。支持查询/导出近180天内详细的远控日志记录,单次查询最多可查5万条,包括通过设备列表和识别码方式的远控,当发生安全问题或异常情况时通过远控日志排查。远控“事件”类型包含:桌面控制(桌面控制+桌面观看)、远程文件、远程CMD、远程摄像头。
(2)补充说明
- 旧账号体系:记录的是当前账号远控设备的详细记录;
- 新账号体系:记录当前账号和账号管理中的员工账号远控设备的详细记录;且用员工账号远控时,控制端账号会记录为员工账号的信息,而非超管账号。
(3)版本要求
若发现管理平台未记录对应日志信息,请检查所使用的控制端版本是否符合要求:
- Android控制端 V12.0及以上版本;
- iOS控制端 V12.0及以上版本;
- Windows企业控制端 V5.6.1及以上版本。
2、被控日志
操作路径:管理平台->【审计日志】->【被控日志】
记录本账号下设备的被控记录,包括通过设备列表和识别码方式远控,单次查询最多可查5万条。
被控事件指:桌面控制(桌面控制+桌面观看)、远程文件、远程CMD、远程摄像头。
3、控制端日志
控制端日志包括最近登录记录和登录告警记录。
操作路径:管理平台->【审计日志】->【控制端日志】
(1)最近登录记录
“最近登录记录”可查看近30天内控制端的登录记录,内容包括控制端的登录时间、设备名称、控制端的账号名、登录地的IP地址及登录应用等。管理员可以通过查询账号的登录时间、登录地点和登录平台,以此判断账号是否存在安全问题。
注意:当前仅支持查看Windows企业版控制端5.4.1及以上版本的登录记录,若在查询时发现日志缺失,请尝试将控制端升级到最新版本。
(2)登录告警记录
系统检测到控制端登录异常(异地登录)时,会触发登录告警。若非本人已知情况的登录操作,建议修改账号的密码。
异地登录:同台设备在不同地区登录相同账号
4、客户端日志
操作路径:管理平台->【审计日志】->【客户端日志】
“客户端日志”记录向日葵远程控制软件客户端近30天的登录日志(上线、下线),当发生安全事件或异常情况时,可通过客户端日志排查和定位问题。客户端日志包含以下信息内容:事件(上线和下线)、登录时间、客户端账号、设备名称、登录IP、登录应用。
5、操作日志
操作路径:管理平台->【审计日志】->【操作日志】
“操作日志”记录操作员账号所操作的记录,单次查询最多可查5万条。操作日志包括以下信息内容:操作员账号、时间、对象、详情、操作类型、结果、IP地址。
6、服务器周报
操作路径:管理平台->【审计日志】->【服务器周报】
点击【服务器周报】可查看带宽使用统计、在线量统计及客户端连接数统计。支持在可查看日期范围内的周报导出。 注:仅企业+账号服务支持服务器周报功能。