日志审查设置

日志审查模块可标识包含在计算机日志文件中的安全事件。可以将可疑事件转发到 SIEM 系统或集中式日志记录服务器,以进行最终关联、报告及归档。它通过实施 OSSEC.net 上提供的开放源软件来发挥作用。

计算机编辑器或策略编辑器可以更改策略或特定计算机的这些设置。 要更改策略的设置,请转至“策略”页面并双击要编辑的策略(或者选择策略并单击“详细信息”)。 要更改计算机的设置,请转至“计算机”页面并双击要编辑的计算机(或者选择计算机并单击“详细信息”)。的“日志审查”部分包含以下选项卡式部分:

常规

日志审查

可以将此策略或计算机配置为从其父策略继承日志审查的打开/关闭状态,也可以本地锁定该设置。

已分配日志审查规则

显示对此策略或计算机生效的日志审查规则。要添加或移除日志审查规则,请单击分配/取消分配。此时会出现一个窗口,显示可从中选择或取消选择规则的所有可用日志审查规则。

计算机编辑器或策略编辑器可以更改策略或特定计算机的这些设置。 要更改策略的设置,请转至“策略”页面并双击要编辑的策略(或者选择策略并单击“详细信息”)。 要更改计算机的设置,请转至“计算机”页面并双击要编辑的计算机(或者选择计算机并单击“详细信息”)。窗口中,您可以编辑日志审查规则以便所做更改仅在本地应用到编辑器的上下文,也可以编辑规则以便所做更改全局应用到正在使用该规则的所有其他策略和计算机。

要对规则进行本地编辑,请选择该规则并单击属性 (),或者右键单击该规则并单击属性

要对规则进行全局编辑,请右键单击该规则并单击属性 (全局)

建议

显示上次执行“漏洞扫描 (推荐设置)”的时间和建议日志审查规则的数量。

高级

严重性剪辑

客户端/设备事件的严重性达到或超出以下级别时,将这些事件发送到 syslog:日志审查规则具有严重性级别。此设置确定将这些规则触发的哪些事件发送到 syslog 服务器(如果已启用 syslog)。(要启用 syslog,请转至管理 > 系统设置 > SIEM。)

当事件等于或超出以下严重性级别时,将这些事件存储在客户端/设备中以供 DSM 以后检索:此设置确定哪些日志审查事件会保存在数据库中并显示在日志审查事件页面中。

事件

除了只显示与此策略或特定计算机相关的事件外,日志审查事件的显示方式与它们在趋势科技服务器深度安全防护系统管理中心主窗口中的显示方式相同。