日志审计功能主要用于记录内网用户的上网行为,并实现深入的内容审计。通过日志审计,管理员知道在什么时间、哪个用户、做了什么,能够时刻掌握用户动态,为网络管理提供决策依据。通过对内网用户上网行为实施记录审计,能够在发生网络违法事件的时候通过审计日志追查相关责任人,避免由企业承担相应法律责任。
用户行为审计需要用户的流量经过控制器才可审计,而本地转发的数据从AP直接出去,并不需要到控制器转发。NMC网关下的AP不支持集中转发(数据模式),不支持基于集中转发的审计功能。
本地转发日志审计实现原理:本地转发时,AP将用户上网的每个会话的前几个数据包镜像到无线控制器用于识别/记录用户访问的应用,达到实现本地转发审计用户行为的需求。 对于AP远程部署的场景,必须采用本地转发日志审计。
以下相关功能配置均基于 NMC3.13.0版本。
【应用中心】-【服务配置】里开启的服务,需要重启设备才能生效。
1.开启审计后,至少需要等待20分钟,才能在日志中心里看到审计日志。
2.历史数据量大的时候,一般推荐客户隔天再进行查看。
1、开启审计功能
1)首先确认应用识别&URL识别序列号和用户审计序列号处于有效期内
2)然后在【SD-WAN】->【分支服务配置】->【本机】中打开以下的功能
2、创建角色并开启审计策略
1)在【认证配置】-【角色授权】-【用户审计策略】里创建一个用户审计的策略,按需求勾选审计项。
2)在【角色授权】里创建一个角色,调用刚刚创建的审计策略
3、开启本地转发识别控制策略
1)在【接入点配置】->【本地转发应用控制】->【本地转发识别控制策略】->【选择控制模式】为基于服务&应用控制
2)在下方创建一个流量处理策略,选择生效角色
4、关联SSID
1)在【接入点配置】-【无线网络】里点击对应的SSID,将其转发模式设置成 本地转发
2)点击【权限设定】,下拉选择刚刚创建好的角色
1)等待30分钟,点击【应用中心】->【日志中心】查看记录的日志
2)点击【日志查询】->【所有行为日志】然后查看对应终端的行为
1、
Q:服务配置开启了审计功能后打开日志中心还是提示先开启集中/本地转发应用识别?
A:检查是否重启设备,服务配置里的应用服务需要重启才能够生效。
2、
Q:打开日志中心还是查看不到数据?
A:是否等待三十分钟才查看,日志生成需要时间,需要等待一段时间后日志方才生成。
3、
Q:配置不生效?
A:检查是否创建了审计策略,角色是否应用了审计策略,SSID是否引用相关角色,在线用户获取的角色是否正确。NMC不支持基于集中转发的审计策略。