活动监视
EventLog Analyzer处理网络中的日志数据,并提供有关网络设备和用户的会话活动的报告 。
活动监控规则
您可以使用EventLog analyzer中自带的预定义规则生成会话活动报表,也可以构建自定义规则。
预定义活动规则
- 点击相关性 > 管理规则 > 活动规则.
- 选择所需的预定义规则,点击启用图标并确认。
自定义活动规则
请按如需步骤打开活动规则构建器,点击 相关性 > 管理规则 > 活动规则 > 创建活动规则。
-
从屏幕左侧的操作分类列表中选择构成规则的各个操作。
- 也可以使用列表顶部的搜索栏执行搜索操作。
- 可以通过拖放操作重新排列其顺序,也可以通过点击操作右侧的“删除”图标来删除该操作。
- 要在特定时间间隔内检测同一操作的重复次数,请勾选“阈值限制”复选框,然后输入出现次数和时间间隔。
-
对于每个操作,在后续标签下指定下一个操作要遵循的时间间隔。您可以从下拉列表选择以秒或分钟为时间间隔单位。
- 点击右上方的过滤打开更多选项。
- 第一条规则启动会话,最后一条规则结束会话。会话的持续时间是第一条规则和最后一条规则之间的时间间隔。
Advanced options
活动规则中的每个操作都对应于一个日志。日志包含不同的字段,每个字段都有特定的值。使用高级选项(可在操作右侧的过滤器下找到),您可以在这里设置字段匹配条件,也可以设置动作之间的阈值限制。
- 您可以从提供的下拉列表中选择筛选字段。下拉列表中提供的字段可能因所选操作而不同。
- 您可以从下拉菜单中选择等于, 不等于, 包含, 开始于, 结束于, 链接到或者是常量。
注意:当您为等于表达式提供了多个值,提供的值集被视为可能值的列表,如果列表中的任何一个值为真,则接受该操作。同样适用于包含,开始于和结束于表达式。
对于多个不等于表达式,所提供的值集需要保持为true才能接受操作。
链接到
链接到比较类型用于将选定字段的值与另一操作(属于同一规则或另一规则的主操作)中字段的值进行比较。例如,如果动作1的设备类型被链接到了动作2的设备类型的值,则只有当两个链接字段的值相同时,才会触发操作1。
当您选择链接到,图标将会出现在过滤的末尾。点击该图标将出现一个新标签。
提示:开始规则的至少一个字段应链接到结束规则中的字段。
点击要与上一个操作的值进行比较的第二个操作的字段相对应的复选框。点击“确定”完成两个操作的链接。
是常量
是常量选项用于将特定字段视为常量。通过选择此选项,仅当此字段的值在整个迭代过程中保持不变时,规则才接受一组重复操作。例如,如果目标用户字段保持不变,则仅当此字段的值在所有迭代过程中保持不变时才会触发操作。如果事件是用不同的值生成的,则不会触发该操作。
活动监控报表
- 活动监视报告提供有关Windows和Unix会话的信息。
- 您可以基于设备或用户查看会话活动。
- 报表提供了设备、用户、状态、会话持续时间以及会话的开始和结束时间的详细信息。如需了解更多,点击查看历史。
- 日历小部件允许您选择要查看选定设备/用户的会话活动的时间段。
- 您还可以安排活动监视报告。您也可以计划活动监控报表。
- 活动监视报表可以被导出为PDF和CSV格式,点击导出即可。
单个会话的详细历史记录如下:
注意:历史记录中包含哪些事件取决于您在查看日志和配置字段中勾选了哪些选项。
您可以点击高级视图,拖拽并查看原始日志
|