内网审计日志
更新时间 2025-12-01 15:09:12
最近更新时间: 2025-12-01 15:09:12
本文将介绍针对远程访问场景下产生的防护日志。
AOne边缘网关检测存在安全威胁时将实时进行处置,您可通过对应防护日志进行查询处置情况。
注意事项
- 需开通零信任/终端管理服务,并产生威胁防护时才可查看到相应防护数据。
- 仅能查询近6个月数据,若有长时间存储日志需求,可联系我们。
操作步骤
- 登录边缘安全加速控制台,进入对应服务;
- 在左侧导航栏,选择日志->内网审计日志;
- 分为内网访问审计、网关防护日志两个模块,可针对需求进行查询相关日志情况。
内网访问审计日志字段说明
| 字段 | 字段说明 |
|---|---|
| 用户 | 访问的用户名称和账号 |
| 访问时间 | 访问请求的开始时间和结束时间 |
| 会话持续时间 | 访问请求的持续时间 |
| 客户端地址:端口 | 发起请求客户端的所在IP地址、地区和端口 |
| 目标地址:端口 | 接收请求的应用所在的IP地址和端口 |
| 请求协议 | 访问请求的协议 |
| 应用名称 | 内网应用名称 |
| 状态码 | 0-5xx |
| 处理动作 | 告警:即仅产生告警,不会对访问产生影响 拦截:即将对应请求进行拦截,将无法访问对应目标地址 放行:既正常访问,未被识别异常,无特殊处理动作 |
网关防护日志字段说明
| 字段 | 字段说明 |
|---|---|
| 攻击时间 | 攻击时间 |
| 规则ID | 规则ID对应策略配置,如访问控制配置一条即有一个规则ID,通过规则ID可快速定位由客户哪条规则策略引起的处置 |
| 用户 | 用户帐号 |
| 设备ID | 设备ID |
| 客户端地址:端口 | 发起请求客户端的所在IP地址、地区和端口 |
| 攻击IP | 攻击IP |
| 攻击IP归属 | 攻击IP归属,如北京-电信 |
| 目标域名或IP | 访问的目标域名或IP |
| 攻击类型 | 访问控制、扫描攻击(指横向渗透防护检测到的攻击)、未授权访问(指无零信任应用授权的访问行为)、动态授权、黑名单、准入策略、离线分析、准入管控和合规检测攻击类型 |
| 状态码 | 0-5xx |
| 处理动作 | 告警:即仅产生告警,不会对访问产生影响 拦截:即将对应请求进行拦截,将无法访问对应目标地址 |
| 操作 | 对于横向渗透防护策略匹配到的防护日志,支持操作取消处置功能 取消处置:用于在零信任网关进行防护时,若对访问行为执行处置动作,被处置对象的零信任使用将受限。点击取消处置按钮,可实时解除网关对该设备的处置动作 |
