可以查看并过滤通过外接设备(比如U盘等)外发的原始日志,这里提供针对外接设备外发的各种过滤条件,以便快速定位通过外接设备外发的日志。
1、需要查看文件流路径等,需要确保开启【防泄密附件存储】和【文件流转配置】(默认开启)能力。
2、已配置【终端泄密审计】策略。
//支持时间、用户/部门、动作类型、文件来源名称、文件来源、文件大小、计算机名、审计设备名称。
| 过滤项 | 值说明 |
| 用户/部门 | 选择要过滤的用户组 |
| 计算机名 | 行为发生的终端计算机名 |
| 动作类型 | 选择外设的动作类型,动作类型支持:插入、拔出、新建文件夹、新建文件、修改文件、拷贝文件、移动文件、重命名文件、删除文件 |
| 文件大小 | 输入文件大小,单位KB、MB、GB可选 |
| 文件来源名称 | 选择已定义的文件来源对象 |
| 文件来源 | 输入文件来源地址,可输入具体来源的URL地址或IP地址。未定义文件来源对象和已定义的文件来源对象都可以通过输入具体URL地址或IP地址进行过滤。 |
| 文件名 | 输入文件名包含的关键字 |
| 审计设备名称 | 选择日志来源设备名称。当前可选的设备只有SASE设备 |
//点击右侧“详情”,可以查看到详细的文件调查日志。
| 字段 | 说明 |
| 发生时间 | 行为发生的时间 |
| 用户名(显示名) | 行为发生的用户信息 |
| 计算机名 | 行为发生的终端计算机名 |
| 源IP | 终端的源IP |
| MAC地址 | 终端的MAC地址 |
| 设备名称 | 外接设备的名称 |
| 设备描述 | 外接设备类型描述 |
| UDiskld | 外接设备的设备唯一ID |
| 动作类型 | 选择外设的动作类型,动作类型支持:插入、拔出、新建文件夹、新建文件、修改文件、拷贝文件、移动文件、重命名文件、删除文件 |
| 文件名 | 外发或终端操作的文件名 |
| 文件路径 | 文件在终端的路径信息 |
| 文件类型 | 文件类型信息 |
| 文件大小 | 文件大小 |
| 敏感数据 | 文件匹配到的敏感数据类型 |
| 敏感内容 | 文件包含的敏感内容 |
| 文件来源 | 文件来源地址 |
| 应用类型 | 外发应用所属的类型 |
| 通路 | 外发应用名 |
| 审计设备名称 | 日志来源设备名称 |
| 审计设备ID | 审计的设备唯一标识ID |
//点击右侧<流转图>,可以查看到详细的文件流转路径图/文件流转时序图。
建议使用Chrome浏览器访问!
