审计日志gydF4y2Ba
概述gydF4y2Ba
Code42审计日志提供了在Code42环境中谁在何时做了什么事情的记录。审计日志的一些用途包括:gydF4y2Ba
- 确定Code42环境是如何达到当前状态的。gydF4y2Ba
- 抽查安全分析师的工作,以防止滥用特权访问。betway365gydF4y2Ba
- 为用户识别导致无意更改的培训领域。gydF4y2Ba
本文提供了Code42控制台中审计日志中每个项的描述。gydF4y2Ba
有关事件显示的详细信息,请参见gydF4y2Ba审计日志事件明细gydF4y2Ba.gydF4y2Ba
Code42控制台中的Audit Log允许您快速搜索事件并将结果导出到逗号分隔值(CSV)文件。虽然这有助于快速执行抽查,但如果需要将事件导出到内部安全团队工具,则使用Code42 API。betway365看到gydF4y2Ba审计日志gydF4y2Ba在Code42开发者门户网站。gydF4y2Ba
注意事项gydF4y2Ba
- 你必须有gydF4y2Ba审计日志查看器gydF4y2Ba角色查看审计日志中的事件。gydF4y2Ba
- 审计日志记录了90天内发生的事件。如果您希望维护审计日志输出的时间超过90天,gydF4y2Ba导出结果gydF4y2Ba存储到你自己的系统中。gydF4y2Ba
- “审计日志”中记录的事件数量不受限制,但一次最多只能导出10万条事件。若要解决此限制,请参见gydF4y2Ba故障排除gydF4y2Ba.gydF4y2Ba
- 审计日志中记录的事件可能起源于审计日志中所采取的操作gydF4y2BaCode42控制台gydF4y2Ba,gydF4y2BaCode42 apigydF4y2Ba,一个gydF4y2Ba与Code42集成gydF4y2Ba,或外部gydF4y2Ba用户配置gydF4y2Ba系统。gydF4y2Ba
- 事件结果在事件发生后5分钟内返回。尽管不同事件类型的事件结果以不同的时间间隔返回,但它们始终按照发生的顺序列出。gydF4y2Ba
- 除了搜索审计日志事件之外gydF4y2Ba使用apigydF4y2Ba,你也可以gydF4y2Ba使用py42查询审计日志gydF4y2Ba.gydF4y2Ba
- 有关如何将审计日志事件摄取到Splunk的信息,请参见gydF4y2Ba为Splunk安装和管理Code42内部威胁应用程序gydF4y2Ba.gydF4y2Ba
审计登录到Code42控制台中gydF4y2Ba
查询审计日志。gydF4y2Ba
- 登录到Code42控制台gydF4y2Ba.gydF4y2Ba
- 选择gydF4y2BaAdministration > Status >审计日志gydF4y2Ba.gydF4y2Ba
- 单击,查看事件的详细信息gydF4y2Ba视图gydF4y2Ba细节gydF4y2Ba.gydF4y2Ba
有关事件的详细信息,请参见gydF4y2Ba审计日志事件明细gydF4y2Ba.gydF4y2Ba项gydF4y2Ba 描述gydF4y2Ba 一个gydF4y2Ba 出口gydF4y2Ba 出口gydF4y2Ba将过滤后的事件保存到逗号分隔值(CSV)文件。gydF4y2Ba bgydF4y2Ba 过滤器gydF4y2Ba 过滤器gydF4y2Ba事件由您选择的标准。gydF4y2Ba cgydF4y2Ba 过滤后的gydF4y2Ba 的gydF4y2Ba过滤器gydF4y2Ba当前应用于审计日志事件的。单击X以删除该过滤器。删除所有筛选器以查看所有事件。gydF4y2Ba dgydF4y2Ba 用户名gydF4y2Ba 与事件关联的用户名Code42。gydF4y2Ba egydF4y2Ba 事件类型gydF4y2Ba 的gydF4y2Ba事件类型gydF4y2Ba记录。gydF4y2Ba
fgydF4y2Ba 观察到的日期gydF4y2Ba 事件发生的日期和时间。时间报告在gydF4y2Ba协调世界时(UTC)gydF4y2Ba.gydF4y2Ba ggydF4y2Ba IP地址gydF4y2Ba 事件涉及的公网IP地址。gydF4y2Ba hgydF4y2Ba 查看详细gydF4y2Ba 单击,查看事件详细信息。包括事件类型、观察到的日期和设备详细信息。gydF4y2Ba
详细信息请参见gydF4y2Ba审计日志事件明细gydF4y2Ba.gydF4y2Ba
过滤器gydF4y2Ba
单击,可以过滤“审计日志”中列出的事件gydF4y2Ba过滤器gydF4y2Ba并选择要使用的标准。当你点击gydF4y2Ba应用gydF4y2Ba,匹配所有筛选器的事件将出现在列表中。gydF4y2Ba
项gydF4y2Ba | 描述gydF4y2Ba | |
---|---|---|
一个gydF4y2Ba | 用户名gydF4y2Ba | 返回由特定Code42用户触发的事件。多个用户名之间用“,”隔开。gydF4y2Ba |
bgydF4y2Ba | 资源IDgydF4y2Ba | 搜索与特定资源ID相关的事件。gydF4y2Ba 可搜索的资源id包括:gydF4y2Ba
|
cgydF4y2Ba | 用户类型gydF4y2Ba | 要搜索的用户类型:gydF4y2Ba
|
dgydF4y2Ba | 日期范围gydF4y2Ba | 根据所选日期范围筛选列表。选择gydF4y2Ba自定义gydF4y2Ba输入用于筛选事件的开始和结束日期。您也可以选择gydF4y2Ba所有日期gydF4y2Ba查看已记录的所有事件。gydF4y2Ba |
egydF4y2Ba | 事件类型gydF4y2Ba | 根据事件类型筛选结果。gydF4y2Ba所有事件gydF4y2Ba根据所有可用的事件类型进行筛选。gydF4y2Ba 事件类型被组织成类别。选择gydF4y2Ba所有事件gydF4y2Ba在类别中按该类别中的所有可用事件类型进行筛选。gydF4y2Ba 看到gydF4y2Ba事件类型gydF4y2Ba小节中对每种事件类型的描述。gydF4y2Ba
|
fgydF4y2Ba | IP地址gydF4y2Ba | 根据事件涉及的公网IP地址过滤事件。多个IP地址之间使用“,”隔开。gydF4y2Ba |
ggydF4y2Ba | 取消/申请gydF4y2Ba | 点击gydF4y2Ba应用gydF4y2Ba将选定的筛选条件应用于列表,并仅显示与该条件匹配的事件。若要返回列表而不应用任何筛选器,请单击gydF4y2Ba取消gydF4y2Ba.gydF4y2Ba |
出口gydF4y2Ba
点击gydF4y2Ba出口tgydF4y2BaO输出gydF4y2Ba过滤事件gydF4y2Ba到CSV(逗号分隔值)文件中。应用的任何过滤器都显示在Audit Log列表上方。单击筛选器上的X以从导出的结果中删除该筛选器。gydF4y2Ba
除了在Code42控制台中将事件导出到CSV之外,还可以使用Code42 API导出事件。看到gydF4y2Ba审计日志gydF4y2Ba在Code42开发者门户网站。gydF4y2Ba
事件类型gydF4y2Ba
以下是审计日志中出现的事件类型。gydF4y2Ba
新增帐号名gydF4y2Ba
此事件表示已添加企业云帐户名称gydF4y2Ba信任的活动gydF4y2Ba.gydF4y2Ba
帐户名称更改gydF4y2Ba
中对企业云帐户名称或描述进行了更改gydF4y2Ba信任的活动gydF4y2Ba.gydF4y2Ba
帐户名称已删除gydF4y2Ba
此事件表示已从其中删除企业云帐户名称gydF4y2Ba信任的活动gydF4y2Ba.gydF4y2Ba
激活用户gydF4y2Ba
此事件表示用户已被删除gydF4y2Ba重新激活gydF4y2Ba在Code42。重新激活发生在用户之前被激活之后gydF4y2Ba停用gydF4y2Ba.gydF4y2Ba
添加用户gydF4y2Ba
这个事件意味着agydF4y2Ba新增用户gydF4y2Ba在Code42。gydF4y2Ba
此事件类型中的字段的空值可能是由于最初从Code42环境接收用户进入审计日志而导致的。看到gydF4y2Ba故障排除gydF4y2Ba.gydF4y2Ba
警报说明已编辑gydF4y2Ba
这个事件意味着agydF4y2Ba关于警报的说明gydF4y2Ba被改变了。gydF4y2Ba
已创建警报规则gydF4y2Ba
这个事件意味着一个gydF4y2Ba创建警报规则gydF4y2Ba.gydF4y2Ba
告警规则被删除gydF4y2Ba
这个事件意味着一个gydF4y2Ba删除警报规则gydF4y2Ba.gydF4y2Ba
禁用警报规则gydF4y2Ba
这个事件意味着一个gydF4y2Ba警报规则已禁用gydF4y2Ba.gydF4y2Ba
警报规则已编辑gydF4y2Ba
这个事件意味着一个gydF4y2Ba编辑警报规则gydF4y2Ba.gydF4y2Ba
启用警报规则gydF4y2Ba
这个事件意味着一个gydF4y2Ba启用警报规则gydF4y2Ba.gydF4y2Ba
警报状态改变gydF4y2Ba
这个事件意味着一个gydF4y2Ba警报状态改变gydF4y2Ba.以下是可能的状态:gydF4y2Ba
- 打开:未查看警报。gydF4y2Ba
- 正在进行中:警报正在审查中。gydF4y2Ba
- 挂起响应:对警报的响应挂起。gydF4y2Ba
- 已解除:告警已解除。gydF4y2Ba
所有用户已从警报规则中删除gydF4y2Ba
方法从警报规则中删除了所有用户gydF4y2BaCode42 APIgydF4y2Ba,gydF4y2Bapy42gydF4y2Ba,或gydF4y2BaCLIgydF4y2Ba,但不是Code42控制台。如果从警报规则中删除了所有用户gydF4y2Ba在Code42控制台gydF4y2Ba,它会触发gydF4y2Ba警报规则已编辑gydF4y2Ba事件。gydF4y2Ba
创建API客户端gydF4y2Ba
这个事件意味着一个gydF4y2Ba创建API客户端gydF4y2Ba.gydF4y2Ba
删除API客户端gydF4y2Ba
这个事件意味着一个gydF4y2Ba日志含义删除API客户端gydF4y2Ba.gydF4y2Ba
API客户端描述更改gydF4y2Ba
这个事件意味着gydF4y2BaAPI客户端的描述被改变gydF4y2Ba.gydF4y2Ba
API客户端名称更改gydF4y2Ba
这个事件意味着gydF4y2BaAPI客户端名称被更改gydF4y2Ba.gydF4y2Ba
分配API客户端权限gydF4y2Ba
此事件表示读或写gydF4y2BaAPI的权限gydF4y2Ba提供给API客户端。gydF4y2Ba
API客户端权限被撤销gydF4y2Ba
此事件表示读或写gydF4y2BaAPI的权限gydF4y2Ba从API客户端删除。gydF4y2Ba
API客户端秘密重置gydF4y2Ba
这个事件意味着gydF4y2BaAPI客户端的秘密被重置gydF4y2Ba.gydF4y2Ba
案件归档gydF4y2Ba
这个事件意味着agydF4y2Ba病例已存档gydF4y2Ba.gydF4y2Ba
案件受让人变更gydF4y2Ba
这个事件意味着gydF4y2Ba被派去接案子的人已经换了gydF4y2Ba.gydF4y2Ba
情况下关闭gydF4y2Ba
这个事件意味着agydF4y2Ba案件已结案gydF4y2Ba.gydF4y2Ba
情况下创建gydF4y2Ba
这个事件意味着agydF4y2Ba案例被创建gydF4y2Ba.gydF4y2Ba
情况下删除gydF4y2Ba
这个事件意味着agydF4y2Ba案件被永久删除gydF4y2Ba.gydF4y2Ba
出口情况gydF4y2Ba
这个事件意味着agydF4y2Ba病例输出gydF4y2Ba.gydF4y2Ba
新增案例文件事件gydF4y2Ba
这个事件意味着agydF4y2Ba文件事件被添加到案例中gydF4y2Ba.gydF4y2Ba
案例文件事件已删除gydF4y2Ba
这个事件意味着agydF4y2Ba已从案例中删除文件事件gydF4y2Ba.gydF4y2Ba
案件主题变更gydF4y2Ba
这个事件意味着gydF4y2Ba这个案子的当事人被换了gydF4y2Ba.gydF4y2Ba
新增云别名gydF4y2Ba
对象中添加了云别名gydF4y2Ba用户配置文件gydF4y2Ba.gydF4y2Ba
一个gydF4y2Ba云别名gydF4y2Ba是用户使用的Code42用户名之外的电子邮件别名吗gydF4y2Ba云服务gydF4y2Ba比如谷歌Drive, OneDrive或Box。每个用户只能添加一个别名。gydF4y2Ba
云别名删除gydF4y2Ba
对象中删除了云别名gydF4y2Ba用户配置文件gydF4y2Ba.gydF4y2Ba
Code42支持禁用用户访问gydF4y2Ba
这个事件意味着gydF4y2Ba支持访问gydF4y2Ba您的Code42环境已关闭,因此Code42支持用户(也称为技术支持工程师)不再有权限访问您的Code42环境以排除故障或调整设置。gydF4y2Ba
Code42支持启用用户访问gydF4y2Ba
此事件意味着Code42支持用户(也称为技术支持工程师)被授予gydF4y2Ba支持访问gydF4y2Ba到Code42环境中进行故障排除并根据需要调整设置。gydF4y2Ba
Code42支持用户在获得支持访问权限后可以登录。默认情况下,Code42支持用户的名称为gydF4y2Bamarvin@code42.comgydF4y2Ba.gydF4y2Ba
要查找Code42支持用户执行的事件,gydF4y2Ba过滤器gydF4y2Ba在用户类型上gydF4y2BaCode42支持用户gydF4y2Ba.中显示用户信息gydF4y2Ba用户类型gydF4y2Ba部分的事件详细信息。如果Code42支持用户创建了其他用户,您可以通过过滤用户类型在审计日志中找到它们gydF4y2BaCode42支持用户gydF4y2Ba和事件类型gydF4y2Ba添加用户gydF4y2Ba.gydF4y2Ba
控制台登录gydF4y2Ba
这个事件意味着agydF4y2Ba登录到Code42控制台gydF4y2Ba被记录。登录可以是直接用户登录,也可以是用户登录gydF4y2Ba单点登录(SSO)gydF4y2Ba的API调用发起的登录gydF4y2BaCode42 APIgydF4y2Ba或者一个gydF4y2Ba集成gydF4y2Ba.如果使用API调用初始化登录,则gydF4y2Ba用户代理gydF4y2Ba字段显示API的详细信息。gydF4y2Ba
禁用用户gydF4y2Ba
此事件表示用户已被删除gydF4y2Ba停用gydF4y2Ba在Code42。用户可以是gydF4y2Ba有很多原因gydF4y2Ba从离开公司到被调出供应系统。betway88help有关供应系统执行的用户停用的更多信息,请参阅我们的文章gydF4y2BaSCIM供应gydF4y2Ba而且gydF4y2BaCode42用户目录同步gydF4y2Ba.gydF4y2Ba
部门添加到监视列表定义gydF4y2Ba
这个事件意味着一个部门gydF4y2Ba已添加到监视列表gydF4y2Ba.gydF4y2Ba
部门从监视列表定义中删除gydF4y2Ba
这个事件意味着一个部门gydF4y2Ba从监视列表中移除gydF4y2Ba.gydF4y2Ba
域添加gydF4y2Ba
的列表中已添加了一个域gydF4y2Ba信任的活动gydF4y2Ba在数据首选项中。gydF4y2Ba
域发生了变化gydF4y2Ba
的列表中已更改某个域gydF4y2Ba信任的活动gydF4y2Ba在数据首选项中。gydF4y2Ba
域删除gydF4y2Ba
的列表中已删除某个域gydF4y2Ba信任的活动gydF4y2Ba在数据首选项中。gydF4y2Ba
电子邮件改变gydF4y2Ba
这个事件意味着agydF4y2Ba用户电邮地址gydF4y2Ba被改变了。在Code42中,用户的电子邮件地址也是他们的Code42用户名。因此,更改用户的电子邮件地址也会导致gydF4y2Ba用户名更改gydF4y2Ba事件。gydF4y2Ba
添加到监视列表定义的排除用户gydF4y2Ba
此事件表示部门或目录组中的某些用户被删除gydF4y2Ba从监视名单中排除gydF4y2Ba.gydF4y2Ba
排除从监视列表定义中删除的用户gydF4y2Ba
此事件意味着以前被排除在监视列表之外的部门或目录组中的某些用户现在已被排除在监视列表之外gydF4y2Ba已添加到监视列表gydF4y2Ba.gydF4y2Ba
外部属性变化gydF4y2Ba
这个事件意味着一个外部gydF4y2Ba用户配置gydF4y2Ba系统更新了用户的属性,如gydF4y2BaCode42用户目录同步gydF4y2Ba或者一个gydF4y2BaSCIM供应gydF4y2Ba系统gydF4y2BaAzure AD配置gydF4y2Ba,gydF4y2BaOkta供应gydF4y2Ba,或gydF4y2BaPingOne供应gydF4y2Ba.gydF4y2Ba
当供应系统触发事件时,gydF4y2Ba用户名Code42gydF4y2Ba条目显示为gydF4y2Ba供应提供者用户名凭证gydF4y2Ba来自Code42(例如,“azure_1234@cloud.code42.com”)。gydF4y2Ba
如果一个用户的多个属性由于一个供应操作而更改,那么所有属性更改都出现在同一个事件中。从供应系统中获得的用户属性显示在Code42中gydF4y2Ba用户配置文件gydF4y2Ba.可以在此事件类型中出现的更改的属性有:gydF4y2Ba
- 国家gydF4y2Ba
- 部门gydF4y2Ba
- 部门gydF4y2Ba
- employee_typegydF4y2Ba
- 位置gydF4y2Ba
- manager_user_idgydF4y2Ba
- 地区gydF4y2Ba
- 标题gydF4y2Ba
如果用户属性未正确填充,请参见gydF4y2Ba将用户属性提供给Code42gydF4y2Ba.gydF4y2Ba
外部参考变更gydF4y2Ba
此事件意味着用户的gydF4y2Ba外部参考信息gydF4y2Ba被改变了。Code42中的External Reference字段由管理员用于向Code42环境中的用户、设备或组织添加描述性信息,例如序列号、资产标签、员工id、帮助台问题id等。这些信息为管理员提供了额外的上下文,并有助于与外部系统集成。gydF4y2Ba
联合创建的gydF4y2Ba
这个事件意味着agydF4y2Ba联合会gydF4y2Ba在身份管理中创建。gydF4y2Ba
联合会删除gydF4y2Ba
这个事件意味着agydF4y2Ba联合会gydF4y2Ba在“身份管理”中删除。gydF4y2Ba
联邦元数据更新gydF4y2Ba
此事件意味着a的元数据gydF4y2Ba联合会gydF4y2Ba是编辑。gydF4y2Ba
联盟更新gydF4y2Ba
此事件意味着一个细节gydF4y2Ba联合会gydF4y2Ba被编辑。gydF4y2Ba
文件下载gydF4y2Ba
此事件表示已从其中下载文件gydF4y2Ba法医搜索gydF4y2Ba或者一个gydF4y2Ba情况下gydF4y2Ba.文件的名称、大小、MD5散列和其他信息显示在gydF4y2Ba其他事件详细信息gydF4y2Ba.gydF4y2Ba
文件下载:IO错误gydF4y2Ba
当一个文件从gydF4y2Ba法医搜索gydF4y2Ba或者一个gydF4y2Ba情况下gydF4y2Ba由于I/O设备错误,文件下载失败。gydF4y2Ba
取证查询gydF4y2Ba
此事件表示法医学搜索查询被gydF4y2Ba在Code42控制台中执行gydF4y2Ba或者一个gydF4y2Ba使用Code42 API运行法医搜索gydF4y2Ba.法证搜索查询的详细信息记录在gydF4y2Ba查询参数gydF4y2Ba.gydF4y2Ba
新增Git存储库gydF4y2Ba
的列表中添加了一个Git存储库gydF4y2Ba信任的活动gydF4y2Ba在数据首选项中。gydF4y2Ba
Git存储库更改gydF4y2Ba
的列表中已经更改了Git存储库gydF4y2Ba信任的活动gydF4y2Ba在数据首选项中。gydF4y2Ba
删除Git存储库gydF4y2Ba
的列表中删除了Git存储库gydF4y2Ba信任的活动gydF4y2Ba在数据首选项中。gydF4y2Ba
将组添加到监视列表定义gydF4y2Ba
此事件表示目录组已被删除gydF4y2Ba已添加到监视列表gydF4y2Ba.gydF4y2Ba
从监视列表定义中删除的组gydF4y2Ba
此事件表示目录组已被删除gydF4y2Ba从监视列表中移除gydF4y2Ba.gydF4y2Ba
分配给org的标识提供程序gydF4y2Ba
此事件表示身份验证提供程序是gydF4y2Ba分配给组织gydF4y2Ba.gydF4y2Ba
创建标识提供程序gydF4y2Ba
这个事件意味着一个gydF4y2Ba创建身份验证提供程序gydF4y2Ba.gydF4y2Ba
标识提供程序已删除gydF4y2Ba
这个事件意味着一个gydF4y2Ba身份验证提供者gydF4y2Ba被删除。gydF4y2Ba
标识提供程序元数据已更新gydF4y2Ba
事件的元数据gydF4y2Ba身份验证提供者gydF4y2Ba是编辑。gydF4y2Ba
标识提供程序已从org中删除gydF4y2Ba
此事件表示身份验证提供程序是gydF4y2Ba被调离组织gydF4y2Ba.gydF4y2Ba
标识提供程序已更新gydF4y2Ba
事件的详细信息gydF4y2Ba身份验证gydF4y2Ba提供者gydF4y2Ba被编辑。gydF4y2Ba
包括添加到监视列表定义的用户gydF4y2Ba
此事件意味着用户被gydF4y2Ba已添加到监视列表gydF4y2Ba单独。gydF4y2Ba
注意,如果添加用户是因为他们是目录组或部门的成员,则gydF4y2Ba用户添加到监视列表成员gydF4y2Ba事件发生时。gydF4y2Ba
包括从监视列表定义中删除的用户gydF4y2Ba
此事件意味着用户被gydF4y2Ba从监视列表中移除gydF4y2Ba单独。gydF4y2Ba
注意,如果删除用户是因为他们是目录组或部门的成员,则gydF4y2Ba用户已从监视列表成员中删除gydF4y2Ba事件发生时。gydF4y2Ba
新增IP地址gydF4y2Ba
此事件表示IP地址已添加到受信任列表gydF4y2BaIP地址gydF4y2Ba在数据首选项中。gydF4y2Ba
IP地址变更gydF4y2Ba
此事件表示受信任列表中的IP地址已更改gydF4y2BaIP地址gydF4y2Ba在数据首选项中。gydF4y2Ba
删除IP地址gydF4y2Ba
此事件表示IP地址已从受信任列表中删除gydF4y2BaIP地址gydF4y2Ba在数据首选项中。gydF4y2Ba
本地认证只更改gydF4y2Ba
这个事件意味着gydF4y2Ba当地的认证gydF4y2Ba方法已为用户更改。属性的“本地用户”窗格中显示具有本地身份验证的用户gydF4y2Ba身份验证选项卡gydF4y2Ba在身份管理。gydF4y2Ba
在gydF4y2Ba更新本地认证状态gydF4y2Ba字段的值为“true”表示用户仅限于本地(基于code42的)认证,而值为“false”表示用户是单点登录认证。gydF4y2Ba
此事件类型中的字段的空值可能是由于最初从Code42环境接收用户进入审计日志而导致的。看到gydF4y2Ba故障排除gydF4y2Ba.gydF4y2Ba
名称的改变gydF4y2Ba
这个事件意味着agydF4y2Ba用户的姓或名gydF4y2Ba被改变了。gydF4y2Ba
道路清除gydF4y2Ba
这个事件意味着gydF4y2Bapurge.pathgydF4y2Ba命令gydF4y2Ba用于从备份归档中删除文件或目录。gydF4y2Ba
恢复了gydF4y2Ba
此事件表示已完成文件到设备的恢复(下载)。gydF4y2Ba
的gydF4y2Ba其他事件详细信息gydF4y2Ba显示了gydF4y2Ba恢复类型gydF4y2Ba和关于恢复的其他信息,例如接收恢复文件的设备的所有者。gydF4y2Ba
恢复开始gydF4y2Ba
此事件表示已开始将文件恢复(下载)到设备。gydF4y2Ba
比较相同恢复ID的恢复开始时间和结束时间,以确定恢复所花费的时间。根据还原的类型和还原的文件内容的数量,还原的时间长度可能有很大差异。gydF4y2Ba
增加风险因素gydF4y2Ba
此事件意味着向监视列表中的用户添加了风险因素。gydF4y2Ba
风险因素被移除gydF4y2Ba
此事件意味着已从监视列表中的用户中删除风险因素。gydF4y2Ba
风险概况结束日期已更改gydF4y2Ba
此事件表示用户的离开日期在gydF4y2Ba用户配置文件gydF4y2Ba.gydF4y2Ba
风险概况说明已更改gydF4y2Ba
此事件意味着注释在gydF4y2Ba用户配置文件gydF4y2Ba.gydF4y2Ba
风险概况开始日期已更改gydF4y2Ba
这个事件意味着gydF4y2Ba开始日期已更改gydF4y2Ba用户配置文件gydF4y2Ba.gydF4y2Ba
风险设定改变gydF4y2Ba
事件的严重性值gydF4y2Ba风险指标gydF4y2Ba被改变了。gydF4y2Ba
创建风险设置gydF4y2Ba
这个事件意味着agydF4y2Ba风险指标gydF4y2Ba是补充道。这是一个发生的系统动作:1)当Code42创建一个新的风险指示器时,或者2)当Code42在初始部署后第一次接收到一个文件事件时。你不能自己创建新的风险设置。gydF4y2Ba
SCIM供应程序配置已更新gydF4y2Ba
此事件意味着一个细节gydF4y2BaSCIM供应提供者gydF4y2Ba被编辑。gydF4y2Ba
已创建SCIM供应器gydF4y2Ba
这个事件意味着agydF4y2Ba创建了SCIM供应提供程序gydF4y2Ba.gydF4y2Ba
SCIM供应者凭证已更改gydF4y2Ba
这个事件意味着gydF4y2Ba提供的凭证gydF4y2Ba被更改为gydF4y2BaSCIMgydF4y2Ba配置提供者gydF4y2Ba.gydF4y2Ba
SCIM供应器已删除gydF4y2Ba
这个事件意味着gydF4y2BaSCIM供应提供者gydF4y2Ba被删除。gydF4y2Ba
删除共享权限gydF4y2Ba
这个事件意味着agydF4y2Ba云存储文件共享权限gydF4y2Ba已为用户删除。gydF4y2Ba
新增Slack WorkspacegydF4y2Ba
的列表中已添加了一个Slack工作区gydF4y2Ba信任的活动gydF4y2Ba在数据首选项中。gydF4y2Ba
Slack Workspace更改gydF4y2Ba
的列表中已更改了Slack工作区gydF4y2Ba信任的活动gydF4y2Ba在数据首选项中。gydF4y2Ba
删除Slack WorkspacegydF4y2Ba
此事件意味着Slack工作区已从列表中删除gydF4y2Ba信任的活动gydF4y2Ba在数据首选项中。gydF4y2Ba
授予临时文件访问权gydF4y2Ba
此事件意味着有分析师提出了请求gydF4y2Ba临时视图访问gydF4y2Ba到由我们的一个数据连接器监视的云存储服务中的文件。文件访问时间为15分钟。gydF4y2Ba
临时文件访问被撤销gydF4y2Ba
这个事件意味着一个分析师的事件gydF4y2Ba临时15分钟的查看权限gydF4y2Ba访问由我们的一个数据连接器监视的云存储服务中的文件的期限已过。gydF4y2Ba
URL添加gydF4y2Ba
的列表中添加了特定的URL路径gydF4y2Ba信任的活动gydF4y2Ba在数据首选项中。gydF4y2Ba
地址改变了gydF4y2Ba
列表中的特定URL路径已被更改gydF4y2Ba信任的活动gydF4y2Ba在数据首选项中。gydF4y2Ba
URL删除gydF4y2Ba
的列表中删除了特定的URL路径gydF4y2Ba信任的活动gydF4y2Ba在数据首选项中。gydF4y2Ba
用户添加到监视列表成员gydF4y2Ba
此事件表示用户已被删除gydF4y2Ba已添加到监视列表gydF4y2Ba当使用目录组或部门填充监视列表时。注意,如果将用户单独添加到监视列表,则gydF4y2Ba包括添加到监视列表定义的用户gydF4y2Ba事件发生时。gydF4y2Ba
用户已从监视列表成员中删除gydF4y2Ba
此事件表示用户已被删除gydF4y2Ba从监视列表中移除gydF4y2Ba从监视列表中删除目录组或部门时。注意,如果从监视列表中单独删除用户,则gydF4y2Ba包括从监视列表定义中删除的用户gydF4y2Ba事件发生时。gydF4y2Ba
分配的用户角色gydF4y2Ba
这个事件意味着gydF4y2Ba日志含义为用户分配角色gydF4y2Ba.有关所有可用角色的列表,请参见gydF4y2Ba角色参考gydF4y2Ba.gydF4y2Ba
撤销用户角色gydF4y2Ba
这个事件意味着gydF4y2Ba日志含义从用户中删除角色gydF4y2Ba.gydF4y2Ba
用户名更改gydF4y2Ba
这个事件意味着agydF4y2Ba用户的Code42用户名gydF4y2Ba被改变了。在Code42中,用户的电子邮件地址也是他们的Code42用户名。因此,对Code42用户名的更改也会导致gydF4y2Ba电子邮件改变gydF4y2Ba事件。gydF4y2Ba
的gydF4y2Ba受影响的用户gydF4y2Ba事件详细信息中的字段为空,因为用户名值显示在gydF4y2Ba旧值gydF4y2Ba而且gydF4y2Ba新值gydF4y2Ba字段。看到gydF4y2Ba故障排除gydF4y2Ba.gydF4y2Ba
用户添加了告警规则gydF4y2Ba
方法将用户添加到警报规则中gydF4y2BaCode42 APIgydF4y2Ba,gydF4y2Bapy42gydF4y2Ba,或gydF4y2BaCLIgydF4y2Ba.如果用户被添加到告警规则gydF4y2Ba在Code42控制台gydF4y2Ba,它会触发gydF4y2Ba警报规则已编辑gydF4y2Ba事件。gydF4y2Ba
用户已从警报规则中删除gydF4y2Ba
方法将用户从警报规则中删除gydF4y2BaCode42 APIgydF4y2Ba,gydF4y2Bapy42gydF4y2Ba,或gydF4y2BaCLIgydF4y2Ba.如果从警报规则中删除用户gydF4y2Ba在Code42控制台gydF4y2Ba,它会触发gydF4y2Ba警报规则已编辑gydF4y2Ba事件。gydF4y2Ba
观察名单中创建gydF4y2Ba
这个事件意味着agydF4y2Ba创建了监视列表gydF4y2Ba.gydF4y2Ba
监视列表定义更改gydF4y2Ba
这个事件意味着某个方面gydF4y2Ba观察名单中gydF4y2Ba改变了。gydF4y2Ba
观察名单中删除gydF4y2Ba
这个事件意味着agydF4y2Ba监视列表被删除gydF4y2Ba.gydF4y2Ba
监视列表描述更改gydF4y2Ba
事件的描述gydF4y2Ba自定义观察名单中gydF4y2Ba改变了。gydF4y2Ba
监视名单名称更改gydF4y2Ba
事件的名称gydF4y2Ba自定义观察名单中gydF4y2Ba改变了。gydF4y2Ba
从警报规则中删除监视列表gydF4y2Ba
此事件意味着监视列表不再处于警报规则中,因为它曾经处于警报规则中gydF4y2Ba从监视列表中删除gydF4y2Ba.如果一个gydF4y2Ba从警报规则中删除监视列表gydF4y2Ba,它会触发gydF4y2Ba警报规则已编辑gydF4y2Ba事件。gydF4y2Ba
ZIP文件下载gydF4y2Ba
此事件意味着一个ZIP文件被下载到一个设备gydF4y2Ba将文件还原为ZIP文件gydF4y2Ba.gydF4y2Ba
故障排除gydF4y2Ba
字段中的空值gydF4y2Ba
审计日志字段中的空值(如gydF4y2Ba- - - - - -gydF4y2Ba或“未知”)可能会出现,原因有很多:gydF4y2Ba
最初的摄入量gydF4y2Ba
在gydF4y2Ba添加用户gydF4y2Ba而且gydF4y2Ba本地认证只更改gydF4y2Ba类的空值gydF4y2Ba用户名gydF4y2Ba(Code42)gydF4y2Ba,gydF4y2BaIP地址(公网)gydF4y2Ba,gydF4y2Ba用户代理gydF4y2Ba字段可能是由于您的Code42环境中的用户最初进入审计日志而导致的。这些字段保留为空,因为没有引起该事件的代理用户。gydF4y2Ba供应系统gydF4y2Ba
当一件事如如发生时gydF4y2Ba外部属性变化gydF4y2Ba由供应系统触发,则gydF4y2Ba用户代理gydF4y2Ba字段为空,因为事务中没有涉及端点用户代理。如果供应系统触发事件,则gydF4y2Ba用户名Code42gydF4y2Ba条目显示为gydF4y2Ba供应提供者用户名凭证gydF4y2Ba来自Code42(例如,“azure_1234@cloud.code42.com”)。gydF4y2Ba- 用户名更改gydF4y2Ba
在gydF4y2Ba用户名更改gydF4y2Ba事件,gydF4y2Ba受影响的用户gydF4y2Ba字段为空,因为用户名值显示在gydF4y2Ba旧值gydF4y2Ba而且gydF4y2Ba新值gydF4y2Ba字段。gydF4y2Ba - 用户类型gydF4y2Ba
在事件详细信息中gydF4y2Ba用户类型gydF4y2Ba或gydF4y2Ba员工的用户名gydF4y2Ba字段可能显示空值或“未知”。当新用户执行事件,并且在系统注册新用户之前记录了事件时,就会发生这种情况。gydF4y2Ba
出口限制gydF4y2Ba
一次可以从审计日志中导出的事件最多为100,000条。要解决这个限制,请调整您的gydF4y2Ba过滤器gydF4y2Ba要将任何给定导出中的事件数量减少到100,000以下,请完成多个导出以获得整个事件集。gydF4y2Ba
相关的话题gydF4y2Ba
- Code42开发者门户:gydF4y2Ba审计日志接口gydF4y2Ba
- 审计日志事件明细gydF4y2Ba