更新时间:2024-10-28
1功能简介
1.1应用场景
日志审计功能主要用于记录内网用户的上网行为,并实现深入的内容审计。通过日志审计,管理员知道在什么时间、哪个用户、做了什么,能够时刻掌握用户动态,为网络管理提供决策依据。通过对内网用户上网行为实施记录审计,能够在发生网络违法事件的时候通过审计日志追查相关责任人,避免由企业承担相应法律责任。
用户行为审计需要用户的流量经过控制器才可审计,而本地转发的数据从AP直接出去,并不需要到控制器转发。故要实现本地转发的用户行为审计,配置与集中转发的审计存在部分差异。
本地转发日志审计实现原理:本地转发时,AP将用户上网的每个会话的前几个数据包镜像到无线控制器用于识别/记录用户访问的应用,达到实现本地转发审计用户行为的需求。 对于AP远程部署的场景,必须采用本地转发日志审计。
1.2适用版本
以下相关功能配置均基于 NAC3.13.0版本。
1.3配置思路
分为集中转发审计和本地转发审计两种,但步骤基本一致。
- 确保授权在有效期内,服务配置中开启审计功能
- 创建角色并开启审计策略
- 开启本地转发识别控制策略(本地转发才有的)
- 关联SSID并配置需要审计的角色
- 效果展示
2注意事项
2.1业务影响范围
【应用中心】-【服务配置】里开启的服务,需要重启设备才能生效。
2.2配置注意事项
1.开启审计后,至少需要等待20分钟,才能在日志中心里看到审计日志。
2.历史数据量大的时候,一般推荐客户隔天再进行查看。
3 配置步骤
3.1 集中转发审计
1、开启审计功能
1)首先确认应用识别&URL识别序列号和用户审计序列号处于有效期内
2)然后在【系统管理】->【服务管理】->【服务配置】中打开以下的功能
2、创建角色并开启审计策略
1)在【认证授权】-【角色授权】-【用户审计策略】里创建一个用户审计的策略,按需求勾选审计项。
2)在【角色授权】里创建一个角色,调用刚刚创建的审计策略
3、关联SSID
1)在【接入点管理】-【无线网络】里点击对应的SSID,将其转发模式设置成 集中转发
2)点击【权限设定】,下拉选择刚刚创建好的角色
3.2 本地转发审计
1、开启审计功能
1)首先确认应用识别&URL识别序列号和用户审计序列号处于有效期内
2)然后在【系统管理】->【服务管理】->【服务配置】中打开以下的功能
2、创建角色并开启审计策略
3)在【认证授权】-【角色授权】-【用户审计策略】里创建一个用户审计的策略
4)在【角色授权】里创建一个角色,调用刚刚创建的审计策略
3、开启本地转发识别控制策略
1)在【认证配置】->【认证授权】->【本地转发识别控制策略】->【选择控制模式】为基于服务&应用控制
2)创建一个流量处理策略,选择生效角色
4、关联SSID
1)在【接入点管理】-【无线网络】里点击对应的SSID,将其转发模式设置成 本地转发
2)点击【权限设定】,下拉选择刚刚创建好的角色
4效果 演示
4.1 效果展示
1)等待30分钟,点击【应用中心】->【日志中心】查看记录的日志
2)点击【日志查询】->【所有行为日志】然后查看对应终端的行为
5常见问题
1、
Q:服务配置开启了审计功能后打开日志中心还是提示先开启集中/本地转发应用识别?
A:检查是否重启设备,服务配置里的应用服务需要重启才能够生效。
2、
Q:打开日志中心还是查看不到数据?
A:是否等待三十分钟才查看,日志生成需要时间,需要等待一段时间后日志方才生成。
3、
Q:配置不生效?
A:检查是否创建了审计策略,角色是否应用了审计策略,SSID是否引用相关角色,在线用户获取的角色是否正确。