可以查看并过滤通过即时通讯外发的原始日志,这里提供针对即时通讯外发的各种过滤条件,以便快速定位通过即时通讯外发的日志
1、需要查看文件流路径等,需要确保开启【防泄密附件存储】和【文件流转配置】(默认开启)能力。
2、已配置【终端泄密审计】策略。
//支持时间、用户/部门、通路、敏感数据、文件来源名称、文件来源、文件大小、接受对象名称、接收对象、关键字、审计设备名称。
| 过滤项 | 值说明 |
| 用户/部门 | 选择要过滤的用户组 |
| 通路 | 外发应用名 |
| 文件大小 | 输入文件大小,单位KB、MB、GB可选 |
| 文件来源名称 | 选择已定义的文件来源对象 |
| 文件来源 | 输入文件来源地址,可输入具体来源的URL地址或IP地址。未定义文件来源对象和已定义的文件来源对象都可以通过输入具体URL地址或IP地址进行过滤。 |
| 敏感数据 | 选择过滤定义的敏感数据 |
| 接受对象名称 | 选择已定义的接受对象 |
| 接收对象 | 输入接收对象地址,可输入具体接收对象的URL地址或IP地址。未定义的接受对象或已定义接受对象都可以通过输入具体URL地址或IP地址进行过滤。 |
| 关键字 | 输入关键子,对聊天进行过滤 |
| 审计设备名称 | 选择日志来源设备名称。当前可选的设备只有SASE设备 |
//点击右侧<详情>,可以查看到详细的文件调查日志。
| 字段 | 说明 |
| 发生时间 | 行为发生的时间 |
| 用户名(显示名) | 行为发生的用户信息 |
| 计算机名 | 行为发生的终端计算机名 |
| 源IP | 终端的源IP |
| MAC地址 | 终端的MAC地址 |
| 聊天信息 | 聊天内容信息 |
| 文件名 | 外发或终端操作的文件名 |
| 文件路径 | 文件在终端的路径信息 |
| 文件类型 | 文件类型信息 |
| 文件大小 | 文件大小 |
| 敏感数据 | 文件匹配到的敏感数据类型 |
| 敏感内容 | 文件包含的敏感内容 |
| 文件来源 | 文件来源地址 |
| 应用类型 | 外发应用所属的类型 |
| 通路 | 外发应用名 |
| 发送对象 | 发送方账号 |
| 接收对象 | 发送目的方账号 |
| 审计设备名称 | 日志来源设备名称 |
| 审计设备ID | 审计的设备唯一标识ID |
//点击右侧<流转图>,可以查看到详细的文件流转路径图/文件流转时序图。
建议使用Chrome浏览器访问!
