跳到主要内容gydF4y2Ba
联系gydF4y2Ba支持gydF4y2Ba

这篇文章是给谁看的?gydF4y2Ba

Incydr专业,企业,地平线和政府F2gydF4y2Ba
Incydr基础,高级,和政府F1gydF4y2Ba

的Code42控制台中找到您的产品计划gydF4y2Ba帐户菜单gydF4y2Ba.gydF4y2Ba

老师,不。gydF4y2Ba

Incydr Professional, Enterprise, Horizon和Gov F2,是的。gydF4y2Ba

Incydr基础,高级和Gov F1,是的。gydF4y2Ba

首页gydF4y2Ba
开始gydF4y2Ba
发布说明gydF4y2Ba
常见问题gydF4y2Ba
apigydF4y2Ba
系统状态gydF4y2Ba
Code42支持gydF4y2Ba

审计日志gydF4y2Ba

  1. 最后一次更新gydF4y2Ba
  2. 另存为PDFgydF4y2Ba

概述gydF4y2Ba

Code42审计日志提供了在Code42环境中谁在何时做了什么事情的记录。审计日志的一些用途包括:gydF4y2Ba

  • 确定Code42环境是如何达到当前状态的。gydF4y2Ba
  • 抽查安全分析师的工作,以防止滥用特权访问。betway365gydF4y2Ba
  • 为用户识别导致无意更改的培训领域。gydF4y2Ba

本文提供了Code42控制台中审计日志中每个项的描述。gydF4y2Ba

有关事件显示的详细信息,请参见gydF4y2Ba审计日志事件明细gydF4y2Ba.gydF4y2Ba

使用审计日志api进行导出gydF4y2Ba 结果gydF4y2Ba
Code42控制台中的Audit Log允许您快速搜索事件并将结果导出到逗号分隔值(CSV)文件。虽然这有助于快速执行抽查,但如果需要将事件导出到内部安全团队工具,则使用Code42 API。betway365看到gydF4y2Ba审计日志gydF4y2Ba在Code42开发者门户网站。gydF4y2Ba

注意事项gydF4y2Ba

审计登录到Code42控制台中gydF4y2Ba

查询审计日志。gydF4y2Ba

  1. 登录到Code42控制台gydF4y2Ba.gydF4y2Ba
  2. 选择gydF4y2BaAdministration > Status >审计日志gydF4y2Ba.gydF4y2Ba
  3. 单击,查看事件的详细信息gydF4y2Ba视图gydF4y2Ba细节gydF4y2Ba细节的图标gydF4y2Ba.gydF4y2Ba
    有关事件的详细信息,请参见gydF4y2Ba审计日志事件明细gydF4y2Ba.gydF4y2Ba

    审计日志gydF4y2Ba

    项gydF4y2Ba 描述gydF4y2Ba
    一个gydF4y2Ba 出口gydF4y2Ba导出图标gydF4y2Ba 出口gydF4y2Ba将过滤后的事件保存到逗号分隔值(CSV)文件。gydF4y2Ba
    bgydF4y2Ba 过滤器gydF4y2Ba过滤器的图标gydF4y2Ba 过滤器gydF4y2Ba事件由您选择的标准。gydF4y2Ba
    cgydF4y2Ba 过滤后的gydF4y2Ba 的gydF4y2Ba过滤器gydF4y2Ba当前应用于审计日志事件的。单击X以删除该过滤器。删除所有筛选器以查看所有事件。gydF4y2Ba
    dgydF4y2Ba 用户名gydF4y2Ba 与事件关联的用户名Code42。gydF4y2Ba
    egydF4y2Ba 事件类型gydF4y2Ba

    的gydF4y2Ba事件类型gydF4y2Ba记录。gydF4y2Ba
    fgydF4y2Ba 观察到的日期gydF4y2Ba 事件发生的日期和时间。时间报告在gydF4y2Ba协调世界时(UTC)gydF4y2Ba.gydF4y2Ba
    ggydF4y2Ba IP地址gydF4y2Ba 事件涉及的公网IP地址。gydF4y2Ba
    hgydF4y2Ba 查看详细gydF4y2Ba细节的图标gydF4y2Ba

    单击,查看事件详细信息。包括事件类型、观察到的日期和设备详细信息。gydF4y2Ba

    详细信息请参见gydF4y2Ba审计日志事件明细gydF4y2Ba.gydF4y2Ba

过滤器gydF4y2Ba

单击,可以过滤“审计日志”中列出的事件gydF4y2Ba过滤器gydF4y2Ba过滤器的图标gydF4y2Ba并选择要使用的标准。当你点击gydF4y2Ba应用gydF4y2Ba,匹配所有筛选器的事件将出现在列表中。gydF4y2Ba

审计日志过滤器gydF4y2Ba

项gydF4y2Ba 描述gydF4y2Ba
一个gydF4y2Ba 用户名gydF4y2Ba 返回由特定Code42用户触发的事件。多个用户名之间用“,”隔开。gydF4y2Ba
bgydF4y2Ba 资源IDgydF4y2Ba

搜索与特定资源ID相关的事件。gydF4y2Ba

可搜索的资源id包括:gydF4y2Ba

  • 受影响的用户gydF4y2Ba
  • 警报gydF4y2Ba
  • 警惕法则gydF4y2Ba
  • 存档源计算机GUIDgydF4y2Ba
  • 情况下gydF4y2Ba
  • 客户端gydF4y2Ba
  • 联合会gydF4y2Ba
  • 身份提供商gydF4y2Ba
  • 粮食供应者gydF4y2Ba
  • 用户gydF4y2Ba
  • 观察名单中gydF4y2Ba
cgydF4y2Ba 用户类型gydF4y2Ba

要搜索的用户类型:gydF4y2Ba

  • 用户gydF4y2Ba
    选择以搜索由Code42用户触发的事件。gydF4y2Ba
  • Code42支持用户gydF4y2Ba
    选择此选项可搜索由Code42支持用户触发的事件。Code42支持用户均由技术支持工程师给予gydF4y2Ba支持访问gydF4y2Ba到Code42环境中执行调查并根据需要调整设置。默认情况下,Code42支持用户的名称为gydF4y2Bamarvin@code42.comgydF4y2Ba.Code42支持用户可以创建出现在审计日志中的其他用户。要找到这些用户,可以根据用户类型进行筛选gydF4y2BaCode42支持用户gydF4y2Ba然后过滤gydF4y2Ba添加用户gydF4y2Ba事件类型。gydF4y2Ba
  • API客户端gydF4y2Ba
    类型触发的事件gydF4y2BaAPI客户端gydF4y2Ba.gydF4y2Ba
  • 系统gydF4y2Ba
    选择此选项可搜索由Code42系统触发的事件。gydF4y2Ba
dgydF4y2Ba 日期范围gydF4y2Ba

根据所选日期范围筛选列表。选择gydF4y2Ba自定义gydF4y2Ba输入用于筛选事件的开始和结束日期。您也可以选择gydF4y2Ba所有日期gydF4y2Ba查看已记录的所有事件。gydF4y2Ba
egydF4y2Ba 事件类型gydF4y2Ba

根据事件类型筛选结果。gydF4y2Ba所有事件gydF4y2Ba根据所有可用的事件类型进行筛选。gydF4y2Ba

事件类型被组织成类别。选择gydF4y2Ba所有事件gydF4y2Ba在类别中按该类别中的所有可用事件类型进行筛选。gydF4y2Ba

看到gydF4y2Ba事件类型gydF4y2Ba小节中对每种事件类型的描述。gydF4y2Ba

  • 政府gydF4y2Ba
    • 所有事件gydF4y2Ba
    • Code42支持禁用用户访问gydF4y2Ba
    • Code42支持启用用户访问gydF4y2Ba
    • 风险设定改变gydF4y2Ba
    • 创建风险设置gydF4y2Ba
  • 警报gydF4y2Ba
    • 警报说明已编辑gydF4y2Ba
    • 已创建警报规则gydF4y2Ba
    • 告警规则被删除gydF4y2Ba
    • 禁用警报规则gydF4y2Ba
    • 警报规则已编辑gydF4y2Ba
    • 启用警报规则gydF4y2Ba
    • 警报状态改变gydF4y2Ba
    • 所有用户已从警报规则中删除gydF4y2Ba
    • 用户添加了告警规则gydF4y2Ba
    • 用户已从警报规则中删除gydF4y2Ba
    • 从警报规则中删除监视列表gydF4y2Ba
  • API的客户gydF4y2Ba
    • 所有事件gydF4y2Ba
    • 创建API客户端gydF4y2Ba
    • 删除API客户端gydF4y2Ba
    • API客户端描述更改gydF4y2Ba
    • API客户端名称更改gydF4y2Ba
    • 分配API客户端权限gydF4y2Ba
    • API客户端权限被撤销gydF4y2Ba
    • API客户端秘密重置gydF4y2Ba
  • 授权gydF4y2Ba
    • 所有事件gydF4y2Ba
    • 控制台登录gydF4y2Ba
  • 情况下gydF4y2Ba
    • 所有事件gydF4y2Ba
    • 案件归档gydF4y2Ba
    • 案件受让人变更gydF4y2Ba
    • 情况下关闭gydF4y2Ba
    • 情况下创建gydF4y2Ba
    • 情况下删除gydF4y2Ba
    • 出口情况gydF4y2Ba
    • 新增案例文件事件gydF4y2Ba
    • 案例文件事件已删除gydF4y2Ba
    • 案件主题变更gydF4y2Ba
  • 数据的偏好gydF4y2Ba
    • 新增帐号名gydF4y2Ba
    • 帐户名称更改gydF4y2Ba
    • 帐户名称已删除gydF4y2Ba
    • 域添加gydF4y2Ba
    • 域发生了变化gydF4y2Ba
    • 域删除gydF4y2Ba
    • 新增Git存储库gydF4y2Ba
    • Git存储库更改gydF4y2Ba
    • 删除Git存储库gydF4y2Ba
    • 新增IP地址gydF4y2Ba
    • IP地址变更gydF4y2Ba
    • 删除IP地址gydF4y2Ba
    • 新增Slack WorkspacegydF4y2Ba
    • Slack Workspace更改gydF4y2Ba
    • 删除Slack WorkspacegydF4y2Ba
    • URL添加gydF4y2Ba
    • 地址改变了gydF4y2Ba
    • URL删除gydF4y2Ba
  • 文件访问gydF4y2Ba
    • 所有事件gydF4y2Ba
    • 文件下载gydF4y2Ba
    • 文件下载:IO错误gydF4y2Ba
    • 道路清除gydF4y2Ba
    • 恢复了gydF4y2Ba
    • 恢复开始gydF4y2Ba
    • 删除共享权限gydF4y2Ba
    • 授予临时文件访问权gydF4y2Ba
    • 临时文件访问被撤销gydF4y2Ba
    • ZIP文件下载gydF4y2Ba
  • 法医搜索gydF4y2Ba
    • 所有事件gydF4y2Ba
    • 取证查询gydF4y2Ba
  • 身份和访问管理gydF4y2Ba
    • 联合创建的gydF4y2Ba
    • 联合会删除gydF4y2Ba
    • 联邦元数据更新gydF4y2Ba
    • 联盟更新gydF4y2Ba
    • 分配给org的标识提供程序gydF4y2Ba
    • 创建标识提供程序gydF4y2Ba
    • 标识提供程序已删除gydF4y2Ba
    • 标识提供程序元数据已更新gydF4y2Ba
    • 标识提供程序已从org中删除gydF4y2Ba
    • 标识提供程序已更新gydF4y2Ba
    • SCIM供应程序配置已更新gydF4y2Ba
    • 已创建SCIM供应器gydF4y2Ba
    • SCIM供应者凭证已更改gydF4y2Ba
    • SCIM供应器已删除gydF4y2Ba
  • 用户更新gydF4y2Ba
    • 所有事件gydF4y2Ba
    • 激活用户gydF4y2Ba
    • 添加用户gydF4y2Ba
    • 禁用用户gydF4y2Ba
    • 电子邮件改变gydF4y2Ba
    • 外部属性变化gydF4y2Ba
    • 外部参考变更gydF4y2Ba
    • 本地认证只更改gydF4y2Ba
    • 名称的改变gydF4y2Ba
    • 分配的用户角色gydF4y2Ba
    • 撤销用户角色gydF4y2Ba
    • 用户名更改gydF4y2Ba
  • 观察名单中gydF4y2Ba
    • 新增云别名gydF4y2Ba
    • 云别名删除gydF4y2Ba
    • 部门添加到监视列表定义gydF4y2Ba
    • 部门从监视列表定义中删除gydF4y2Ba
    • 添加到监视列表定义的排除用户gydF4y2Ba
    • 排除从监视列表定义中删除的用户gydF4y2Ba
    • 将组添加到监视列表定义gydF4y2Ba
    • 从监视列表定义中删除的组gydF4y2Ba
    • 包括添加到监视列表定义的用户gydF4y2Ba
    • 包括从监视列表定义中删除的用户gydF4y2Ba
    • 增加风险因素gydF4y2Ba
    • 风险因素被移除gydF4y2Ba
    • 风险概况结束日期已更改gydF4y2Ba
    • 风险概况说明已更改gydF4y2Ba
    • 风险概况开始日期已更改gydF4y2Ba
    • 用户添加到监视列表成员gydF4y2Ba
    • 用户已从监视列表成员中删除gydF4y2Ba
    • 观察名单中创建gydF4y2Ba
    • 监视列表定义更改gydF4y2Ba
    • 观察名单中删除gydF4y2Ba
    • 监视列表描述更改gydF4y2Ba
    • 监视名单名称更改gydF4y2Ba
fgydF4y2Ba IP地址gydF4y2Ba 根据事件涉及的公网IP地址过滤事件。多个IP地址之间使用“,”隔开。gydF4y2Ba
ggydF4y2Ba 取消/申请gydF4y2Ba 点击gydF4y2Ba应用gydF4y2Ba将选定的筛选条件应用于列表,并仅显示与该条件匹配的事件。若要返回列表而不应用任何筛选器,请单击gydF4y2Ba取消gydF4y2Ba.gydF4y2Ba

出口gydF4y2Ba

点击gydF4y2Ba导出图标gydF4y2Ba出口tgydF4y2BaO输出gydF4y2Ba过滤事件gydF4y2Ba到CSV(逗号分隔值)文件中。应用的任何过滤器都显示在Audit Log列表上方。单击筛选器上的X以从导出的结果中删除该筛选器。gydF4y2Ba

除了在Code42控制台中将事件导出到CSV之外,还可以使用Code42 API导出事件。看到gydF4y2Ba审计日志gydF4y2Ba在Code42开发者门户网站。gydF4y2Ba

事件类型gydF4y2Ba

以下是审计日志中出现的事件类型。gydF4y2Ba

新增帐号名gydF4y2Ba

此事件表示已添加企业云帐户名称gydF4y2Ba信任的活动gydF4y2Ba.gydF4y2Ba

帐户名称更改gydF4y2Ba

中对企业云帐户名称或描述进行了更改gydF4y2Ba信任的活动gydF4y2Ba.gydF4y2Ba

帐户名称已删除gydF4y2Ba

此事件表示已从其中删除企业云帐户名称gydF4y2Ba信任的活动gydF4y2Ba.gydF4y2Ba

激活用户gydF4y2Ba

此事件表示用户已被删除gydF4y2Ba重新激活gydF4y2Ba在Code42。重新激活发生在用户之前被激活之后gydF4y2Ba停用gydF4y2Ba.gydF4y2Ba

添加用户gydF4y2Ba

这个事件意味着agydF4y2Ba新增用户gydF4y2Ba在Code42。gydF4y2Ba

此事件类型中的字段的空值可能是由于最初从Code42环境接收用户进入审计日志而导致的。看到gydF4y2Ba故障排除gydF4y2Ba.gydF4y2Ba

警报说明已编辑gydF4y2Ba

这个事件意味着agydF4y2Ba关于警报的说明gydF4y2Ba被改变了。gydF4y2Ba

已创建警报规则gydF4y2Ba

这个事件意味着一个gydF4y2Ba创建警报规则gydF4y2Ba.gydF4y2Ba

告警规则被删除gydF4y2Ba

这个事件意味着一个gydF4y2Ba删除警报规则gydF4y2Ba.gydF4y2Ba

禁用警报规则gydF4y2Ba

这个事件意味着一个gydF4y2Ba警报规则已禁用gydF4y2Ba.gydF4y2Ba

警报规则已编辑gydF4y2Ba

这个事件意味着一个gydF4y2Ba编辑警报规则gydF4y2Ba.gydF4y2Ba

启用警报规则gydF4y2Ba

这个事件意味着一个gydF4y2Ba启用警报规则gydF4y2Ba.gydF4y2Ba

警报状态改变gydF4y2Ba

这个事件意味着一个gydF4y2Ba警报状态改变gydF4y2Ba.以下是可能的状态:gydF4y2Ba

  • 打开:未查看警报。gydF4y2Ba
  • 正在进行中:警报正在审查中。gydF4y2Ba
  • 挂起响应:对警报的响应挂起。gydF4y2Ba
  • 已解除:告警已解除。gydF4y2Ba

所有用户已从警报规则中删除gydF4y2Ba

方法从警报规则中删除了所有用户gydF4y2BaCode42 APIgydF4y2Ba,gydF4y2Bapy42gydF4y2Ba,或gydF4y2BaCLIgydF4y2Ba,但不是Code42控制台。如果从警报规则中删除了所有用户gydF4y2Ba在Code42控制台gydF4y2Ba,它会触发gydF4y2Ba警报规则已编辑gydF4y2Ba事件。gydF4y2Ba

创建API客户端gydF4y2Ba

这个事件意味着一个gydF4y2Ba创建API客户端gydF4y2Ba.gydF4y2Ba

删除API客户端gydF4y2Ba

这个事件意味着一个gydF4y2Ba日志含义删除API客户端gydF4y2Ba.gydF4y2Ba

API客户端描述更改gydF4y2Ba

这个事件意味着gydF4y2BaAPI客户端的描述被改变gydF4y2Ba.gydF4y2Ba

API客户端名称更改gydF4y2Ba

这个事件意味着gydF4y2BaAPI客户端名称被更改gydF4y2Ba.gydF4y2Ba

分配API客户端权限gydF4y2Ba

此事件表示读或写gydF4y2BaAPI的权限gydF4y2Ba提供给API客户端。gydF4y2Ba

API客户端权限被撤销gydF4y2Ba

此事件表示读或写gydF4y2BaAPI的权限gydF4y2Ba从API客户端删除。gydF4y2Ba

API客户端秘密重置gydF4y2Ba

这个事件意味着gydF4y2BaAPI客户端的秘密被重置gydF4y2Ba.gydF4y2Ba

案件归档gydF4y2Ba

这个事件意味着agydF4y2Ba病例已存档gydF4y2Ba.gydF4y2Ba

案件受让人变更gydF4y2Ba

这个事件意味着gydF4y2Ba被派去接案子的人已经换了gydF4y2Ba.gydF4y2Ba

情况下关闭gydF4y2Ba

这个事件意味着agydF4y2Ba案件已结案gydF4y2Ba.gydF4y2Ba

情况下创建gydF4y2Ba

这个事件意味着agydF4y2Ba案例被创建gydF4y2Ba.gydF4y2Ba

情况下删除gydF4y2Ba

这个事件意味着agydF4y2Ba案件被永久删除gydF4y2Ba.gydF4y2Ba

出口情况gydF4y2Ba

这个事件意味着agydF4y2Ba病例输出gydF4y2Ba.gydF4y2Ba

新增案例文件事件gydF4y2Ba

这个事件意味着agydF4y2Ba文件事件被添加到案例中gydF4y2Ba.gydF4y2Ba

案例文件事件已删除gydF4y2Ba

这个事件意味着agydF4y2Ba已从案例中删除文件事件gydF4y2Ba.gydF4y2Ba

案件主题变更gydF4y2Ba

这个事件意味着gydF4y2Ba这个案子的当事人被换了gydF4y2Ba.gydF4y2Ba

新增云别名gydF4y2Ba

对象中添加了云别名gydF4y2Ba用户配置文件gydF4y2Ba.gydF4y2Ba

一个gydF4y2Ba云别名gydF4y2Ba是用户使用的Code42用户名之外的电子邮件别名吗gydF4y2Ba云服务gydF4y2Ba比如谷歌Drive, OneDrive或Box。每个用户只能添加一个别名。gydF4y2Ba

云别名删除gydF4y2Ba

对象中删除了云别名gydF4y2Ba用户配置文件gydF4y2Ba.gydF4y2Ba

Code42支持禁用用户访问gydF4y2Ba

这个事件意味着gydF4y2Ba支持访问gydF4y2Ba您的Code42环境已关闭,因此Code42支持用户(也称为技术支持工程师)不再有权限访问您的Code42环境以排除故障或调整设置。gydF4y2Ba

Code42支持启用用户访问gydF4y2Ba

此事件意味着Code42支持用户(也称为技术支持工程师)被授予gydF4y2Ba支持访问gydF4y2Ba到Code42环境中进行故障排除并根据需要调整设置。gydF4y2Ba

Code42支持用户在获得支持访问权限后可以登录。默认情况下,Code42支持用户的名称为gydF4y2Bamarvin@code42.comgydF4y2Ba.gydF4y2Ba

要查找Code42支持用户执行的事件,gydF4y2Ba过滤器gydF4y2Ba在用户类型上gydF4y2BaCode42支持用户gydF4y2Ba.中显示用户信息gydF4y2Ba用户类型gydF4y2Ba部分的事件详细信息。如果Code42支持用户创建了其他用户,您可以通过过滤用户类型在审计日志中找到它们gydF4y2BaCode42支持用户gydF4y2Ba和事件类型gydF4y2Ba添加用户gydF4y2Ba.gydF4y2Ba

控制台登录gydF4y2Ba

这个事件意味着agydF4y2Ba登录到Code42控制台gydF4y2Ba被记录。登录可以是直接用户登录,也可以是用户登录gydF4y2Ba单点登录(SSO)gydF4y2Ba的API调用发起的登录gydF4y2BaCode42 APIgydF4y2Ba或者一个gydF4y2Ba集成gydF4y2Ba.如果使用API调用初始化登录,则gydF4y2Ba用户代理gydF4y2Ba字段显示API的详细信息。gydF4y2Ba

禁用用户gydF4y2Ba

此事件表示用户已被删除gydF4y2Ba停用gydF4y2Ba在Code42。用户可以是gydF4y2Ba有很多原因gydF4y2Ba从离开公司到被调出供应系统。betway88help有关供应系统执行的用户停用的更多信息,请参阅我们的文章gydF4y2BaSCIM供应gydF4y2Ba而且gydF4y2BaCode42用户目录同步gydF4y2Ba.gydF4y2Ba

部门添加到监视列表定义gydF4y2Ba

这个事件意味着一个部门gydF4y2Ba已添加到监视列表gydF4y2Ba.gydF4y2Ba

部门从监视列表定义中删除gydF4y2Ba

这个事件意味着一个部门gydF4y2Ba从监视列表中移除gydF4y2Ba.gydF4y2Ba

域添加gydF4y2Ba

的列表中已添加了一个域gydF4y2Ba信任的活动gydF4y2Ba在数据首选项中。gydF4y2Ba

域发生了变化gydF4y2Ba

的列表中已更改某个域gydF4y2Ba信任的活动gydF4y2Ba在数据首选项中。gydF4y2Ba

域删除gydF4y2Ba

的列表中已删除某个域gydF4y2Ba信任的活动gydF4y2Ba在数据首选项中。gydF4y2Ba

电子邮件改变gydF4y2Ba

这个事件意味着agydF4y2Ba用户电邮地址gydF4y2Ba被改变了。在Code42中,用户的电子邮件地址也是他们的Code42用户名。因此,更改用户的电子邮件地址也会导致gydF4y2Ba用户名更改gydF4y2Ba事件。gydF4y2Ba

添加到监视列表定义的排除用户gydF4y2Ba

此事件表示部门或目录组中的某些用户被删除gydF4y2Ba从监视名单中排除gydF4y2Ba.gydF4y2Ba

排除从监视列表定义中删除的用户gydF4y2Ba

此事件意味着以前被排除在监视列表之外的部门或目录组中的某些用户现在已被排除在监视列表之外gydF4y2Ba已添加到监视列表gydF4y2Ba.gydF4y2Ba

外部属性变化gydF4y2Ba

这个事件意味着一个外部gydF4y2Ba用户配置gydF4y2Ba系统更新了用户的属性,如gydF4y2BaCode42用户目录同步gydF4y2Ba或者一个gydF4y2BaSCIM供应gydF4y2Ba系统gydF4y2BaAzure AD配置gydF4y2Ba,gydF4y2BaOkta供应gydF4y2Ba,或gydF4y2BaPingOne供应gydF4y2Ba.gydF4y2Ba

当供应系统触发事件时,gydF4y2Ba用户名Code42gydF4y2Ba条目显示为gydF4y2Ba供应提供者用户名凭证gydF4y2Ba来自Code42(例如,“azure_1234@cloud.code42.com”)。gydF4y2Ba

如果一个用户的多个属性由于一个供应操作而更改,那么所有属性更改都出现在同一个事件中。从供应系统中获得的用户属性显示在Code42中gydF4y2Ba用户配置文件gydF4y2Ba.可以在此事件类型中出现的更改的属性有:gydF4y2Ba

  • 国家gydF4y2Ba
  • 部门gydF4y2Ba
  • 部门gydF4y2Ba
  • employee_typegydF4y2Ba
  • 位置gydF4y2Ba
  • manager_user_idgydF4y2Ba
  • 地区gydF4y2Ba
  • 标题gydF4y2Ba

如果用户属性未正确填充,请参见gydF4y2Ba将用户属性提供给Code42gydF4y2Ba.gydF4y2Ba

外部参考变更gydF4y2Ba

此事件意味着用户的gydF4y2Ba外部参考信息gydF4y2Ba被改变了。Code42中的External Reference字段由管理员用于向Code42环境中的用户、设备或组织添加描述性信息,例如序列号、资产标签、员工id、帮助台问题id等。这些信息为管理员提供了额外的上下文,并有助于与外部系统集成。gydF4y2Ba

联合创建的gydF4y2Ba

这个事件意味着agydF4y2Ba联合会gydF4y2Ba在身份管理中创建。gydF4y2Ba

联合会删除gydF4y2Ba

这个事件意味着agydF4y2Ba联合会gydF4y2Ba在“身份管理”中删除。gydF4y2Ba

联邦元数据更新gydF4y2Ba

此事件意味着a的元数据gydF4y2Ba联合会gydF4y2Ba是编辑。gydF4y2Ba

联盟更新gydF4y2Ba

此事件意味着一个细节gydF4y2Ba联合会gydF4y2Ba被编辑。gydF4y2Ba

文件下载gydF4y2Ba

此事件表示已从其中下载文件gydF4y2Ba法医搜索gydF4y2Ba或者一个gydF4y2Ba情况下gydF4y2Ba.文件的名称、大小、MD5散列和其他信息显示在gydF4y2Ba其他事件详细信息gydF4y2Ba.gydF4y2Ba

文件下载:IO错误gydF4y2Ba

当一个文件从gydF4y2Ba法医搜索gydF4y2Ba或者一个gydF4y2Ba情况下gydF4y2Ba由于I/O设备错误,文件下载失败。gydF4y2Ba

取证查询gydF4y2Ba

此事件表示法医学搜索查询被gydF4y2Ba在Code42控制台中执行gydF4y2Ba或者一个gydF4y2Ba使用Code42 API运行法医搜索gydF4y2Ba.法证搜索查询的详细信息记录在gydF4y2Ba查询参数gydF4y2Ba.gydF4y2Ba

新增Git存储库gydF4y2Ba

的列表中添加了一个Git存储库gydF4y2Ba信任的活动gydF4y2Ba在数据首选项中。gydF4y2Ba

Git存储库更改gydF4y2Ba

的列表中已经更改了Git存储库gydF4y2Ba信任的活动gydF4y2Ba在数据首选项中。gydF4y2Ba

删除Git存储库gydF4y2Ba

的列表中删除了Git存储库gydF4y2Ba信任的活动gydF4y2Ba在数据首选项中。gydF4y2Ba

将组添加到监视列表定义gydF4y2Ba

此事件表示目录组已被删除gydF4y2Ba已添加到监视列表gydF4y2Ba.gydF4y2Ba

从监视列表定义中删除的组gydF4y2Ba

此事件表示目录组已被删除gydF4y2Ba从监视列表中移除gydF4y2Ba.gydF4y2Ba

分配给org的标识提供程序gydF4y2Ba

此事件表示身份验证提供程序是gydF4y2Ba分配给组织gydF4y2Ba.gydF4y2Ba

创建标识提供程序gydF4y2Ba

这个事件意味着一个gydF4y2Ba创建身份验证提供程序gydF4y2Ba.gydF4y2Ba

标识提供程序已删除gydF4y2Ba

这个事件意味着一个gydF4y2Ba身份验证提供者gydF4y2Ba被删除。gydF4y2Ba

标识提供程序元数据已更新gydF4y2Ba

事件的元数据gydF4y2Ba身份验证提供者gydF4y2Ba是编辑。gydF4y2Ba

标识提供程序已从org中删除gydF4y2Ba

此事件表示身份验证提供程序是gydF4y2Ba被调离组织gydF4y2Ba.gydF4y2Ba

标识提供程序已更新gydF4y2Ba

事件的详细信息gydF4y2Ba身份验证gydF4y2Ba提供者gydF4y2Ba被编辑。gydF4y2Ba

包括添加到监视列表定义的用户gydF4y2Ba

此事件意味着用户被gydF4y2Ba已添加到监视列表gydF4y2Ba单独。gydF4y2Ba

注意,如果添加用户是因为他们是目录组或部门的成员,则gydF4y2Ba用户添加到监视列表成员gydF4y2Ba事件发生时。gydF4y2Ba

包括从监视列表定义中删除的用户gydF4y2Ba

此事件意味着用户被gydF4y2Ba从监视列表中移除gydF4y2Ba单独。gydF4y2Ba

注意,如果删除用户是因为他们是目录组或部门的成员,则gydF4y2Ba用户已从监视列表成员中删除gydF4y2Ba事件发生时。gydF4y2Ba

新增IP地址gydF4y2Ba

此事件表示IP地址已添加到受信任列表gydF4y2BaIP地址gydF4y2Ba在数据首选项中。gydF4y2Ba

IP地址变更gydF4y2Ba

此事件表示受信任列表中的IP地址已更改gydF4y2BaIP地址gydF4y2Ba在数据首选项中。gydF4y2Ba

删除IP地址gydF4y2Ba

此事件表示IP地址已从受信任列表中删除gydF4y2BaIP地址gydF4y2Ba在数据首选项中。gydF4y2Ba

本地认证只更改gydF4y2Ba

这个事件意味着gydF4y2Ba当地的认证gydF4y2Ba方法已为用户更改。属性的“本地用户”窗格中显示具有本地身份验证的用户gydF4y2Ba身份验证选项卡gydF4y2Ba在身份管理。gydF4y2Ba

在gydF4y2Ba更新本地认证状态gydF4y2Ba字段的值为“true”表示用户仅限于本地(基于code42的)认证,而值为“false”表示用户是单点登录认证。gydF4y2Ba

此事件类型中的字段的空值可能是由于最初从Code42环境接收用户进入审计日志而导致的。看到gydF4y2Ba故障排除gydF4y2Ba.gydF4y2Ba

名称的改变gydF4y2Ba

这个事件意味着agydF4y2Ba用户的姓或名gydF4y2Ba被改变了。gydF4y2Ba

道路清除gydF4y2Ba

这个事件意味着gydF4y2Bapurge.pathgydF4y2Ba命令gydF4y2Ba用于从备份归档中删除文件或目录。gydF4y2Ba

恢复了gydF4y2Ba

此事件表示已完成文件到设备的恢复(下载)。gydF4y2Ba

的gydF4y2Ba其他事件详细信息gydF4y2Ba显示了gydF4y2Ba恢复类型gydF4y2Ba和关于恢复的其他信息,例如接收恢复文件的设备的所有者。gydF4y2Ba

恢复开始gydF4y2Ba

此事件表示已开始将文件恢复(下载)到设备。gydF4y2Ba

比较相同恢复ID的恢复开始时间和结束时间,以确定恢复所花费的时间。根据还原的类型和还原的文件内容的数量,还原的时间长度可能有很大差异。gydF4y2Ba

增加风险因素gydF4y2Ba

此事件意味着向监视列表中的用户添加了风险因素。gydF4y2Ba

风险因素被移除gydF4y2Ba

此事件意味着已从监视列表中的用户中删除风险因素。gydF4y2Ba

风险概况结束日期已更改gydF4y2Ba

此事件表示用户的离开日期在gydF4y2Ba用户配置文件gydF4y2Ba.gydF4y2Ba

风险概况说明已更改gydF4y2Ba

此事件意味着注释在gydF4y2Ba用户配置文件gydF4y2Ba.gydF4y2Ba

风险概况开始日期已更改gydF4y2Ba

这个事件意味着gydF4y2Ba开始日期已更改gydF4y2Ba用户配置文件gydF4y2Ba.gydF4y2Ba

风险设定改变gydF4y2Ba

事件的严重性值gydF4y2Ba风险指标gydF4y2Ba被改变了。gydF4y2Ba

创建风险设置gydF4y2Ba

这个事件意味着agydF4y2Ba风险指标gydF4y2Ba是补充道。这是一个发生的系统动作:1)当Code42创建一个新的风险指示器时,或者2)当Code42在初始部署后第一次接收到一个文件事件时。你不能自己创建新的风险设置。gydF4y2Ba

SCIM供应程序配置已更新gydF4y2Ba

此事件意味着一个细节gydF4y2BaSCIM供应提供者gydF4y2Ba被编辑。gydF4y2Ba

已创建SCIM供应器gydF4y2Ba

这个事件意味着agydF4y2Ba创建了SCIM供应提供程序gydF4y2Ba.gydF4y2Ba

SCIM供应者凭证已更改gydF4y2Ba

这个事件意味着gydF4y2Ba提供的凭证gydF4y2Ba被更改为gydF4y2BaSCIMgydF4y2Ba配置提供者gydF4y2Ba.gydF4y2Ba

SCIM供应器已删除gydF4y2Ba

这个事件意味着gydF4y2BaSCIM供应提供者gydF4y2Ba被删除。gydF4y2Ba

删除共享权限gydF4y2Ba

这个事件意味着agydF4y2Ba云存储文件共享权限gydF4y2Ba已为用户删除。gydF4y2Ba

新增Slack WorkspacegydF4y2Ba

的列表中已添加了一个Slack工作区gydF4y2Ba信任的活动gydF4y2Ba在数据首选项中。gydF4y2Ba

Slack Workspace更改gydF4y2Ba

的列表中已更改了Slack工作区gydF4y2Ba信任的活动gydF4y2Ba在数据首选项中。gydF4y2Ba

删除Slack WorkspacegydF4y2Ba

此事件意味着Slack工作区已从列表中删除gydF4y2Ba信任的活动gydF4y2Ba在数据首选项中。gydF4y2Ba

授予临时文件访问权gydF4y2Ba

此事件意味着有分析师提出了请求gydF4y2Ba临时视图访问gydF4y2Ba到由我们的一个数据连接器监视的云存储服务中的文件。文件访问时间为15分钟。gydF4y2Ba

临时文件访问被撤销gydF4y2Ba

这个事件意味着一个分析师的事件gydF4y2Ba临时15分钟的查看权限gydF4y2Ba访问由我们的一个数据连接器监视的云存储服务中的文件的期限已过。gydF4y2Ba

URL添加gydF4y2Ba

的列表中添加了特定的URL路径gydF4y2Ba信任的活动gydF4y2Ba在数据首选项中。gydF4y2Ba

地址改变了gydF4y2Ba

列表中的特定URL路径已被更改gydF4y2Ba信任的活动gydF4y2Ba在数据首选项中。gydF4y2Ba

URL删除gydF4y2Ba

的列表中删除了特定的URL路径gydF4y2Ba信任的活动gydF4y2Ba在数据首选项中。gydF4y2Ba

用户添加到监视列表成员gydF4y2Ba

此事件表示用户已被删除gydF4y2Ba已添加到监视列表gydF4y2Ba当使用目录组或部门填充监视列表时。注意,如果将用户单独添加到监视列表,则gydF4y2Ba包括添加到监视列表定义的用户gydF4y2Ba事件发生时。gydF4y2Ba

用户已从监视列表成员中删除gydF4y2Ba

此事件表示用户已被删除gydF4y2Ba从监视列表中移除gydF4y2Ba从监视列表中删除目录组或部门时。注意,如果从监视列表中单独删除用户,则gydF4y2Ba包括从监视列表定义中删除的用户gydF4y2Ba事件发生时。gydF4y2Ba

分配的用户角色gydF4y2Ba

这个事件意味着gydF4y2Ba日志含义为用户分配角色gydF4y2Ba.有关所有可用角色的列表,请参见gydF4y2Ba角色参考gydF4y2Ba.gydF4y2Ba

撤销用户角色gydF4y2Ba

这个事件意味着gydF4y2Ba日志含义从用户中删除角色gydF4y2Ba.gydF4y2Ba

用户名更改gydF4y2Ba

这个事件意味着agydF4y2Ba用户的Code42用户名gydF4y2Ba被改变了。在Code42中,用户的电子邮件地址也是他们的Code42用户名。因此,对Code42用户名的更改也会导致gydF4y2Ba电子邮件改变gydF4y2Ba事件。gydF4y2Ba

的gydF4y2Ba受影响的用户gydF4y2Ba事件详细信息中的字段为空,因为用户名值显示在gydF4y2Ba旧值gydF4y2Ba而且gydF4y2Ba新值gydF4y2Ba字段。看到gydF4y2Ba故障排除gydF4y2Ba.gydF4y2Ba

用户添加了告警规则gydF4y2Ba

方法将用户添加到警报规则中gydF4y2BaCode42 APIgydF4y2Ba,gydF4y2Bapy42gydF4y2Ba,或gydF4y2BaCLIgydF4y2Ba.如果用户被添加到告警规则gydF4y2Ba在Code42控制台gydF4y2Ba,它会触发gydF4y2Ba警报规则已编辑gydF4y2Ba事件。gydF4y2Ba

用户已从警报规则中删除gydF4y2Ba

方法将用户从警报规则中删除gydF4y2BaCode42 APIgydF4y2Ba,gydF4y2Bapy42gydF4y2Ba,或gydF4y2BaCLIgydF4y2Ba.如果从警报规则中删除用户gydF4y2Ba在Code42控制台gydF4y2Ba,它会触发gydF4y2Ba警报规则已编辑gydF4y2Ba事件。gydF4y2Ba

观察名单中创建gydF4y2Ba

这个事件意味着agydF4y2Ba创建了监视列表gydF4y2Ba.gydF4y2Ba

监视列表定义更改gydF4y2Ba

这个事件意味着某个方面gydF4y2Ba观察名单中gydF4y2Ba改变了。gydF4y2Ba

观察名单中删除gydF4y2Ba

这个事件意味着agydF4y2Ba监视列表被删除gydF4y2Ba.gydF4y2Ba

监视列表描述更改gydF4y2Ba

事件的描述gydF4y2Ba自定义观察名单中gydF4y2Ba改变了。gydF4y2Ba

监视名单名称更改gydF4y2Ba

事件的名称gydF4y2Ba自定义观察名单中gydF4y2Ba改变了。gydF4y2Ba

从警报规则中删除监视列表gydF4y2Ba

此事件意味着监视列表不再处于警报规则中,因为它曾经处于警报规则中gydF4y2Ba从监视列表中删除gydF4y2Ba.如果一个gydF4y2Ba从警报规则中删除监视列表gydF4y2Ba,它会触发gydF4y2Ba警报规则已编辑gydF4y2Ba事件。gydF4y2Ba

ZIP文件下载gydF4y2Ba

此事件意味着一个ZIP文件被下载到一个设备gydF4y2Ba将文件还原为ZIP文件gydF4y2Ba.gydF4y2Ba

故障排除gydF4y2Ba

字段中的空值gydF4y2Ba

审计日志字段中的空值(如gydF4y2Ba- - - - - -gydF4y2Ba或“未知”)可能会出现,原因有很多:gydF4y2Ba

出口限制gydF4y2Ba

一次可以从审计日志中导出的事件最多为100,000条。要解决这个限制,请调整您的gydF4y2Ba过滤器gydF4y2Ba要将任何给定导出中的事件数量减少到100,000以下,请完成多个导出以获得整个事件集。gydF4y2Ba

相关的话题gydF4y2Ba