趋势科技服务器深度安全防护系统中的事件

当触发防护模块规则或条件时,趋势科技服务器深度安全防护系统会记录“安全事件”;当出现管理事件或与系统相关的事件(例如管理员登录或客户端软件升级)时,它会记录“系统事件”。事件数据用于填充趋势科技服务器深度安全防护系统管理中心中的各种报告和图形。

您可以在趋势科技服务器深度安全防护系统管理中心中的事件和报告选项卡上找到事件的列表。系统事件和每个防护模块的安全事件具有单独的页面。

在本文中:

事件日志在客户端上位于什么位置?

位置因计算机的操作系统而异。在 Windows 上,事件日志存储在以下位置:

C:\Program Data\Trend Micro\Deep Security Agent\Diag

在 Linux 上,事件日志存储在以下位置:

/var/opt/ds_agent/diag

这些位置仅包含标准级别日志;调试级别诊断日志存储在其他位置。出于性能原因,缺省情况下未启用调试级别日志记录。应仅在与Trend Micro技术支持一起诊断问题时启用调试日志记录,并确保在完成后禁用调试日志记录。有关更多信息,请参阅在趋势科技服务器深度安全防护系统客户端 (DSA) 上启用详细日志记录

何时将事件发送到管理中心?

计算机中发生的大部分事件将在下一次波动信号操作期间发送到趋势科技服务器深度安全防护系统管理中心,但以下事件除外,如果通信设置允许中继/客户端/设备启动通信,以下事件会立即发送到管理中心:

事件会保留多长时间?

趋势科技服务器深度安全防护系统管理中心收集事件后,这些事件会保留一段时间,您可以在管理 > 系统设置 > 存储页面上指定该时间段。

如果正在使用趋势科技服务器深度安全防护系统即服务,请参阅事件会存储多长时间?

系统事件

管理 > 系统设置 > 系统事件选项卡上列出了趋势科技服务器深度安全防护系统的所有系统事件,可在该选项卡中对这些事件进行配置。可以设置是否记录各个事件以及是否将其转发到 SIEM 系统。有关处理系统事件的详细信息,请参阅系统事件

安全事件

每个防护模块会在触发规则或满足其他配置条件时生成事件。一些安全事件生成是可以配置的。

可对计算机上生效的防火墙状态配置进行修改,以启用或禁用 TCP、UDP 和 ICMP 事件日志记录。要编辑防火墙状态配置的属性,请转至策略 > 通用对象 > 其他 > 防火墙状态配置。日志记录选项位于防火墙状态配置的属性窗口的 TCPUDPICMP 选项卡中。有关防火墙事件的更多信息,请参阅防火墙事件

您可以通过入侵防御模块禁用各个规则的事件日志记录。要禁用某个规则的事件日志记录,请打开该规则的属性窗口,然后在常规选项卡的事件区域中选择禁用事件日志记录

入侵防御模块可记录导致触发规则的数据。因为不可能每次触发单个规则时都记录所有数据,趋势科技服务器深度安全防护系统将仅记录指定时间段(缺省值为五分钟)内首次触发规则时的数据。要配置趋势科技服务器深度安全防护系统是否记录此数据,请转至计算机编辑器或策略编辑器可以更改策略或特定计算机的这些设置。 要更改策略的设置,请转至“策略”页面并双击要编辑的策略(或者选择策略并单击“详细信息”)。 要更改计算机的设置,请转至“计算机”页面并双击要编辑的计算机(或者选择计算机并单击“详细信息”)。 > 入侵防御 > 高级 > 事件数据。您可以通过在计算机编辑器或策略编辑器可以更改策略或特定计算机的这些设置。 要更改策略的设置,请转至“策略”页面并双击要编辑的策略(或者选择策略并单击“详细信息”)。 要更改计算机的设置,请转至“计算机”页面并双击要编辑的计算机(或者选择计算机并单击“详细信息”)。 > 设置 > 高级 > 高级网络引擎设置中调整在期间内仅记录一个数据包的期间设置来配置该时间段的长度。有关入侵防御事件的更多信息,请参阅入侵防御事件

可将日志审查模块配置为仅在触发的日志审查规则包含的条件超出指定的严重性级别时才记录事件。要设置开始记录日志审查事件的严重性级别,请转至计算机编辑器或策略编辑器可以更改策略或特定计算机的这些设置。 要更改策略的设置,请转至“策略”页面并双击要编辑的策略(或者选择策略并单击“详细信息”)。 要更改计算机的设置,请转至“计算机”页面并双击要编辑的计算机(或者选择计算机并单击“详细信息”)。 > 日志审查 > 高级严重性剪辑。有关日志审查事件的更多信息,请参阅日志审查事件

日志记录的性能

以下是有助于最大限度提高事件收集性能的一些建议:

  • 对于不感兴趣的计算机,减少或禁用日志收集。
  • 考虑禁用防火墙状态配置的属性窗口中的一些日志记录选项,以减少防火墙规则活动的日志记录。例如,禁用 UDP 日志记录会消除“未经请求的 UDP”日志条目。
  • 对于入侵防御规则,最佳做法是只记录丢弃的数据包。日志记录数据包修改可能会产生大量日志条目。
  • 对于入侵防御规则,仅在您想要调查攻击来源时才可包含数据包数据(入侵防御规则的属性窗口中的一个选项)。否则,如果保持包含数据包数据,将大幅增加日志大小。