网络控制器NAC

信锐新一代网络控制器是信锐技术自主研发的多元化、高性能的网络控制器设备,集信锐新一代网络控制器、认证服务器、内网终端状态可视化分析、上网行为管理、上网行为审计、流量控制、VPN、防火墙、有线无线管理系统。 结合AI运维技术,极大程度的提升网络运维效率!
NAC3.13.0-3.14.0
{{sendMatomoQuery("网络控制器NAC","日志审计配置指导")}}

日志审计配置指导

更新时间:2024-10-28

1功能简介

1.1应用场景

日志审计功能主要用于记录内网用户的上网行为,并实现深入的内容审计。通过日志审计,管理员知道在什么时间、哪个用户、做了什么,能够时刻掌握用户动态,为网络管理提供决策依据。通过对内网用户上网行为实施记录审计,能够在发生网络违法事件的时候通过审计日志追查相关责任人,避免由企业承担相应法律责任。

用户行为审计需要用户的流量经过控制器才可审计,而本地转发的数据从AP直接出去,并不需要到控制器转发。故要实现本地转发的用户行为审计,配置与集中转发的审计存在部分差异。

本地转发日志审计实现原理:本地转发时,AP将用户上网的每个会话的前几个数据包镜像到无线控制器用于识别/记录用户访问的应用,达到实现本地转发审计用户行为的需求。 对于AP远程部署的场景,必须采用本地转发日志审计。

1.2适用版本

以下相关功能配置均基于 NAC3.13.0版本。

1.3配置思路

分为集中转发审计和本地转发审计两种,但步骤基本一致。

  1. 确保授权在有效期内,服务配置中开启审计功能
  2. 创建角色并开启审计策略
  3. 开启本地转发识别控制策略(本地转发才有的)
  4. 关联SSID并配置需要审计的角色
  5. 效果展示

2注意事项

2.1业务影响范围

【应用中心】-【服务配置】里开启的服务,需要重启设备才能生效。

2.2配置注意事项

1.开启审计后,至少需要等待20分钟,才能在日志中心里看到审计日志。

2.历史数据量大的时候,一般推荐客户隔天再进行查看。

3  配置步骤  

3.1    集中转发审计  

1、开启审计功能

1)首先确认应用识别&URL识别序列号和用户审计序列号处于有效期内

2)然后在【系统管理】->【服务管理】->【服务配置】中打开以下的功能

2、创建角色并开启审计策略

1)在【认证授权】-【角色授权】-【用户审计策略】里创建一个用户审计的策略,按需求勾选审计项。

 

2)在【角色授权】里创建一个角色,调用刚刚创建的审计策略

3、关联SSID

1)在【接入点管理】-【无线网络】里点击对应的SSID,将其转发模式设置成 集中转发

 

2)点击【权限设定】,下拉选择刚刚创建好的角色

3.2 本地转发审计 

1、开启审计功能

1)首先确认应用识别&URL识别序列号和用户审计序列号处于有效期内

2)然后在【系统管理】->【服务管理】->【服务配置】中打开以下的功能

2、创建角色并开启审计策略

3)在【认证授权】-【角色授权】-【用户审计策略】里创建一个用户审计的策略

 

4)在【角色授权】里创建一个角色,调用刚刚创建的审计策略

3、开启本地转发识别控制策略

1)在【认证配置】->【认证授权】->【本地转发识别控制策略】->【选择控制模式】为基于服务&应用控制

 

2)创建一个流量处理策略,选择生效角色

4、关联SSID

1)在【接入点管理】-【无线网络】里点击对应的SSID,将其转发模式设置成 本地转发

 

2)点击【权限设定】,下拉选择刚刚创建好的角色

4效果   演示

4.1 效果展示 

1)等待30分钟,点击【应用中心】->【日志中心】查看记录的日志

2)点击【日志查询】->【所有行为日志】然后查看对应终端的行为

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

5常见问题

1

Q:服务配置开启了审计功能后打开日志中心还是提示先开启集中/本地转发应用识别?

A:检查是否重启设备,服务配置里的应用服务需要重启才能够生效。

2

Q:打开日志中心还是查看不到数据?

A:是否等待三十分钟才查看,日志生成需要时间,需要等待一段时间后日志方才生成。

3

Q:配置不生效?

A:检查是否创建了审计策略,角色是否应用了审计策略,SSID是否引用相关角色,在线用户获取的角色是否正确。