Symantec SEP 端点防护[七]

日志包括：
1，来自管理服务器的事件数据。
2，来自所有客户机的事件数据。

我们可以过滤日志，也可以将日志导出为CSV文件或日志服务器。

 

日志的类型：
Audit   审计
Application Control and Device Control 应用程序控制和设备控制
Compliance  遵从（属于SNAC组件）
Computer Status  计算机状态
Network Threat Protection 网络威胁防护
Proactive Threat Protection 主动威胁防护
Risks   风险
Scans   扫描
System   系统

 

事件日志中的时间戳基于服务器的时区，数据库中存放的是GMT时间，事件在传到服务器之前可以聚合。

日志在客户机上存储，每个事件源（如AV组件，Firewall组件）都有一个ID，Sylink定期将日志传到服务器，缺省每次最多发送100条，在服务器上为.dat文件
服务器将.dat中的日志分类存放在inbox目录下，如AV放在/inbox/security/av下，防火墙放在/inbox/security下等等。
接下来由Tomcat Apache服务器将inbox下的内容传入数据库。
当管理员通过控制台查看日志时，控制台通过JSP查询数据库，数据库返回检查内容。
结果输出页面是由IIS上的PHP程序生成的，有更好的格式，所以SEPM需要IIS的支持。
旧的SCS（借助于Blueline LogSender agent）或SEP客户端的日志以同样的方式发送给服务器，存储在/inbox/security/legacy目录下。

 

要查看日志，可以通过：
monitor页面，查看几乎实时的信息。
在notification子页面可以配置和查看notification

本文出自 “西蒙[爱生活，爱学习]” 博客，谢绝转载！