You need to enable JavaScript to run this app.
导航
飞连
  • 文档首页
    • /飞连/管理员指南/系统设置/飞连日志外发和审计
飞连日志外发和审计
最近更新时间:2024.08.27 18:59:45首次发布时间:2022.11.29 10:24:03
我的收藏

飞连管理后台的日志审计功能为您提供了一个全面的日志查看和外发管理平台,您可以配置不同场景的日志外发,以及查看包括员工活动日志、管理员操作日志,以及VPN和Wi-Fi相关的员工与设备连接日志。

注意事项
  • 日志记录是事件驱动的,只有在员工或设备有活动时才会生成日志。例如,新员工入职并连接访客 Wi-Fi 时,系统会自动生成访客 Wi-Fi 连接日志。
  • 部门日志列表包含多个列字段,您可以通过左右滑动页面来查看所有列字段。

配置日志外发

在日志审计页面,飞连支持将日志外发至 Syslog 或者 Elasticsearch 服务上进行存储。

  1. 登录飞连管理后台。

  2. 在左侧导航栏,选择系统设置日志审计

  3. 日志审计页面的右上角,单击日志外发管理
    图片

  4. 日志外发管理页面,选择需要外发的目标场景,并单击右上角的编辑,进入协议配置界面。
    图片

  5. 在配置外发协议类型区域,选择并配置以下外发协议类型:
    您可以为各种场景配置一种以上的外发协议,包括 Syslog 和 Elasticsearch。

    外发协议

    配置项

    说明

    Syslog

    地址

    地址是指向 Syslog 程序所在服务器的 TCP/UDP 地址,输入相应的服务器地址,例如 127.0.0.1

    Elasticsearch

    服务地址

    输入 Elasticsearch 程序所在服务器的地址,例如 http://12.6.106:9200

    索引名称

    输入用于存储日志数据的索引名称,通常由字母和下划线组成。

    用户名

    输入访问 Elasticsearch 服务所需的用户名。

    密码

    输入相应的密码。

  6. 完成协议配置后,点击协议右上角的开启按钮以激活协议。
    图片

  7. 启用协议后,点击页面右上角的保存,保存当前的协议配置。点击场景名称右侧的开启按钮,启动该场景的日志外发功能。
    图片

查看日志审计

日志审计页面支持查看员工活动日志、管理员操作日志、VPN 和 Wi-Fi 连接日志等多种类型的日志。所有日志类型均支持条件过滤和关键词搜索,以便您快速定位特定日志条目。员工活动日志的数据记录可以被清除,您可以通过设置过滤条件来筛选需要清除的日志数据,然后在页面右上角点击清除日志执行操作。请注意,清除操作是不可逆的。

  1. 登录飞连管理后台。
  2. 在左侧导航栏,选择系统设置日志审计
  3. 日志审计页面,支持查看以下信息。

    • 员工活动日志:包含员工登录登出、修改个人信息、访问应用操作类型的日志,支持条件过滤或者关键词搜索指定日志。
      员工活动日志的数据记录支持清除。您可以通过设置过滤条件筛选需要清除的日志数据,筛选后在页面右上角单击清除日志。例如,过滤条件:操作系统选择修改个人信息账号状态选择正常运行操作系统选择 iOS飞连版本选择 v2.1.0。成功过滤后单击清除日志,可将当前日志列表的数据清除。

      注意

      日志清除后数据无法恢复,请谨慎操作。

      图片

    • 管理员操作日志:包含企业管理员在飞连管理后台各个模块操作的日志,支持条件过滤或者关键词搜索指定日志。

    • 员工 VPN 连接日志:包含企业员工通过客户端连接飞连 VPN 节点的日志信息,支持条件过滤或者关键词搜索指定日志。

      说明

      单击导出,可将当前员工 VPN 连接日志的数据导出至本地。

      在员工 VPN 连接日志列表中,未完全展示所有列字段,您可以单击列表右侧 ···,自定义列字段信息。
      图片

    • 员工 VPN 访问日志:包含企业员工连接飞连 VPN 节点后,访问网络资源的日志信息。该类型的日志数据量较大,仅支持通过 Elasticsearch 或 Syslog 协议外发后查看,因此您必须配置日志外发。具体配置操作,请参见配置日志外发

      说明

      员工 VPN 访问日志列表的列字段支持自定义,单击点击修改下载字段进行配置。

      图片

    • 员工 Wi-Fi 连接日志:包含企业员工连接员工 Wi-Fi 的日志信息,支持条件过滤或者关键词搜索指定日志。
      在日志列表右侧的详情列单击日志详情,可进入相应员工的设备详情页。

      • 查看设备基础信息网络连接信息网络设备信息以及 RADIUS 信息
      • 在页面右上角单击查看设备详情,可跳转至终端管理中的设备详情页查看。

    • 访客 Wi-Fi 连接日志:包含企业新员工或者到访人员连接访客 Wi-Fi 的日志信息,支持条件过滤或者关键词搜索指定日志。

    • 哑终端网络连接日志:包含企业哑终端设备入网的日志信息,支持条件过滤或者关键词搜索指定日志。
      在日志列表右侧的详情列单击日志详情,可进入哑终端设备详情页,查看设备、入网认证、RADIUS 认证等信息。

日志字段格式说明

员工 VPN 连接日志

<14>1 2023-05-24T12:48:48+08:00 - feilian 19461 - - {"open_id":"ou_dV***zYA","user_name":"张三","user_email":"zhangsan@example.com","client_ip":"10.10.*.*","device_id":"641162*****58ff43f991312093","device_os":"Mac 13.2.1","device_model":"Apple/MacBookPro16,2","vpn_id":1,"vpn_ip":"10.*.*.*","connect_time":"2023-05-24T12:48:45+08:00","app_version":"Mac v2.1.12","option":"connect","log_id":168490***569966}

字段

类型

示例

描述

x_key

String

vpn_connect_log

标识日志类型

open_id

String

ou_xxx

用户 OpenID,可用于 OpenAPI 查询,格式为 ou_xx

user_name

String

张三

用户名

user_email

String

example@feilian.cn

用户邮箱

client_ip

String

10.10.10.*

客户端 IP 地址

device_id

String

00000000000000

客户端设备 ID

device_os

String

Mac 12.4

客户端系统

device_model

String

Apple/MacBookPro16,2

客户端系统信息

vpn_id

Number

1

VPN 节点 ID

vpn_ip

String

10.0.0.*

VPN 节点内网 IP 地址

vpn_ipv6

String

00::0

VPN 节点内网 IPv6 地址

connect_time

String

2006-01-02T15:04:05Z07:00

VPN 连接的建立时间

disconnect_time

String

2006-01-02T15:04:05Z07:00

VPN 连接的断开时间,仅断开时的日志有值

app_version

String

2.1.10

飞连的版本号

option

String

connect

日志类型,枚举值,包括 connect 和 disconnect

员工 VPN 访问日志

<14>1 2023-05-24T12:58:43+08:00 - feilian 13643 - - {"user":"USER_ou_dV1jLvVzYA","uip":"10.10.*.*:55299","sip":"10.241.*.*","dip":"142.251.*.*","sport":"63031","dport":"443","protocol":"tcp","host":"www.example.com","action":"accept","timestamp":"1684904321"}

字段

类型

示例

描述

x_key

String

vpn_conntrack

标识日志类型

email

String

admin@feilian.local

用户邮箱

mobile

String

18800001111

用户手机号

did

String

62d9065661a6e66*****0ec839b

设备 ID

smac

String

3c:22:fb:33:86:70

源 MAC 地址

os

String

Mac

设备操作系统

os_version

String

12.4

操作系统版本

device_brand

String

Apple

设备品牌

device_model

String

MacBookPro15,4

设备型号

app_version

String

v2.0.11

飞连的版本号

user

String

USER_ou_xxx

用户,格式为 USER_{open_id}

uip

String

10.10..

用户 IP

sip

String

20.20..

源 IP

dip

String

10.92..

目的 IP

sport

String

51293

源端口

dport

String

18009

目的端口

protocol

String

udp

协议

host

String

example.com

域名

action

String

accept

处置动作

time

String

2022-08-25 11:42:13

访问时间

员工 Wi-Fi 连接日志/访客 Wi-Fi 连接日志和哑终端网络连接日志

说明

员工 Wi-Fi 连接日志、访客 Wi-Fi 连接日志和哑终端网络连接日志使用的是相同的数据结构,通过 x_keyaccount_type 字段内容来表示不同网络连接记录。

<14>1 2023-05-24T12:48:48+08:00 - feilian 19461 - - {"radius_id":1,"connect_time":"2006-01-02T15:04:05Z07:00","disconnect_time":"2006-01-02T15:04:05Z07:00","connection_result":1,"connection_group_id":"DEFAULT","connection_ip":"10.0.0.*","account_id":1,"account_username":"zhangsan","account_type":1,"device_id":"0000000000","device_name":"xxxxx","calling_station_id":"3a:af:28:df:f8:79","called_station_id":"20:4c:03:2b:30:6c","creators":"1","creators_ex":[{"open_id":"ou_xxx","user_name":"张三","user_email":"aaa@example.com"}],"remark":"","option":"connect"}

字段

类型

示例

描述

x_key

String

wifi_connect_employee

日志类型

  • wifi_connect_employee:员工 Wi-Fi 连接日志:
  • wifi_connect_guest:访客 Wi-Fi 连接日志
  • wifi_connect_terminal:哑终端网络连接日志

radius_id

Number

1

RADIUS 节点 ID

connect_time

String

2006-01-02T15:04:05Z07:00

Wi-Fi 连接的建立时间

disconnect_time

String

2006-01-02T15:04:05Z07:00

Wi-Fi 连接的断开时间,仅断开时的日志有值

connection_result

Number

1

连接的状态:

  • 1:成功
  • 2:失败
  • 3:降级

connection_group_id

String

DEFAULT

连接的权限字符串

connection_ip

String

10.0.0.*

DHCP 分配的 IP

account_id

Number

1

Wi-Fi 账号 ID

account_username

String

zhangsan

Wi-Fi 账号用户名

account_type

Number

1

Wi-Fi 账号类型:

  • 1:访客 Wi-Fi
  • 2:员工 Wi-Fi
  • 3:员工有线
  • 4:哑终端

device_id

String

00000000000000

认证设备的 DID

device_name

String

xxx

认证设备的设备名

calling_station_id

String

3a:af:28:df:f8:79

NAS 的 MAC

called_station_id

String

20:4c:03:2b:30:6c

认证设备的 MAC 地址

creators

String

1

  • 对于员工 Wi-Fi 和员工有线,此字段表示账号的用户 ID
  • 对于访客 Wi-Fi,此字段表示申请者 ID(多 ID 之间以| 分隔)

creators_ex

Array of Object

[]

数组类型,依次解释 creators 里每个用户的信息

. open_id

String

ou_xxx

用户 OpenID,可用于 OpenAPI 查询,格式为 ou_xx

. user_name

String

张三

用户名

. user_email

String

example@feilian.cn

用户邮箱

remarks

String

  • 若连接失败,此字段显示失败原因
  • 若连接成功,此字段为空

option

String

connect

日志类型,枚举值,包括 connect、disconnect 和 update

员工登录日志

<14>1 2023-05-24T12:38:32+08:00 - feilian 19461 - - {"uid":2198,"open_id":"ou_dV1**zYA","user_name":"张X","user_email":"zhangx@example.com","client_ip":"10.10.*.*","user_agent":"Mac/2.1.12(CorpLink/2.1.12 (darwin; Mac 13.2.1; zh))","app_version":"2.1.12","device_model":"Apple/MacBookPro16,2","events":"[{\"success\":true,\"error_code\":\"\",\"error_message\":\"\",\"error_message_en\":\"\",\"name\":\"users\",\"action\":\"logout\",\"changes\":[{\"ids\":[2198],\"attrs\":null}]}]","action":"logout","success":true,"timestamp":1684903112}

字段

类型

示例

描述

x_key

String

employee_login

日志类型

open_id

String

ou_xxx

用户的 ID, 格式为 ou_xx

user_name

String

张三

用户名称

user_email

String

zhangsan@example.com

用户邮箱

client_ip

String

10.10.10.*

客户端 IP

user_agent

String

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36

UA,登录的客户端的标识信息

app_version

String

2.1.0

飞连的版本号

device_model

String

Apple/MacBookPro16,2

设备类型

events

String

[{"success":true,"error_code":"","error_message":"","error_message_en":"","name":"users","action":"logout","changes":[{"ids":[2198],"attrs":null}]}]

事件详情

action

String

login

操作类型,包括login、logout、login/code/verify

success

bool

true

登录是否成功

timestamp

Number

1600000000

登录的时间,格式为 Unix 时间戳

动态控制日志

<14>1 2023-05-24T13:05:05+08:00 - feilian 19461 - - {"id":"738e8595-ff45-4343-8326-bb3***088","open_id":"ou_dV1***zYA","username":"张三","user_email":"zhangsan.9612@example.com","did":"62c24a*****17be079189b968bb7d7","trigger":"period_5_min","trigger_label":"","action_key":"wifi-device-downgrade","timestamp":1684904700,"action_record_type":1,"context":{"user_id":2198,"user_agent":"","did":"62c24a3***b968bb7d7","ip":"","event":{},"params":{"user_id":21**8},"result":null},"is_manual":false,"undo":false,"result_code":0,"group_id":49,"rule_id":406}

字段

类型

示例

描述

x_key

String

dynamic_engine

日志类型

action_key

String

abort-request

处置动作

action_record_type

String

1

处置类型:

  • 1:执行
  • 2:自动恢复
  • 3:手动恢复

context

String

{"user_id":7,"user_agent":"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/15.6.1 Safari/605.1.15","did":"","ip":"10.10..","event":{},"params":{"roles":[1]},"result":[{"name":"abort_request","undo":false,"args":"[\"用户所属角色被管理员禁止登录\",\"role has been limited\"]"}]}

上下文,JSON 字符串,包含处置时的参数及处置结果

did

String

62d90656******0ec839b

设备 ID

id

String

101

处置记录 ID

is_manual

String

false

是否是手动

result_code

String

0

执行结果:

  • 0:执行成功
  • 1:被限流
  • 2:已手动恢复
  • 99:未知错误

timestamp

String

1662626747

操作的时间,格式为 Unix 时间戳

trigger

String

web_login

触发点

trigger_label

String

门户登录(登录尝试)

触发点(中文)

undo

String

false

是否是自动恢复

user_id

String

ou_W9Y***r8e

用户 ID

group_id

String

45

触发规则组 ID

rule_id

String

461

触发规则 ID

终端防病毒日志

<14>1 2023-05-24T13:10:14+08:00 - feilian 19461 - - {"event_id":"xxxx", "open_id":"xxx","username":"","user_email":"example.feilian.cn","mobile":"","timestamp":17012345678,"report_time":17012345678,"config_key":"xxx","config_name":"xxx","device_ip":"10.0.*.*","device_id":"xxxxxxxx","scan_mode":"realtime_scan","scan_scene":"sensitive_file_protect","scan_id":"xxx","threat_object_flag":"av_object_file","threat_object_id":"c:\users\mimikatz.exe+7862ac21eb3****247c188c5f8179f","threat_file_path":"","threat_file_hash":"xxx","threat_file_size":123,"threat_file_type":"win32exe","process_name":"","threat_type":"virus","raw_malware_name":"Generic.Trojan.Mimikatz.Marte.!s!.A.301958EE","threat_level":1,"remediation":"remind_only"}

字段

类型

示例

描述

x_key

String

anti_virus

日志类型

event_id

String

9312dc30-b0a4-43d2-add1-6707ecf2c1c9

事件 ID

open_id

String

ou_W9Yz***8e

用户 ID,格式为 ou_xx

username

String

张三

用户名称

user_email

String

example@feilian.cn

用户邮箱

mobile

String

18800001111

用户手机号

timestamp

Number

1662626747

事件发生时间,格式为 Unix 时间戳

report_time

Number

1662626747

事件上报时间,格式为 Unix 时间戳

config_key

String

2212dc30-2222-1111-00aa-6707ecf2c1c0

终端防病毒策略的 key

config_name

String

策略 AAA

终端防病毒策略的名称

device_ip

String

10.10.10.*

设备 IP

device_id

String

62d9065661a6e66*****0ec839b

设备 ID

device_name

String

Example's Device

设备名

device_hostname

String

CORPLINK-PC

设备主机名

device_serial_Number

String

5053565a4331384b365****64e4e48384a

设备序列号

device_os

String

windows

操作系统,包括 windows、mac、linux

app_version

String

2.1.0

飞连的版本号

scan_mode

String

realtime_scan

检测模式

scan_scene

String

sensitive_file_protect

扫描场景

scan_id

String

e21b829f-18a5-4437-b7e0-0192a0202d63

扫描任务 ID

threat_object_flag

String

av_object_file

可疑对象的种类

threat_object_id

String

c:\users\mimikatz.exe+7862ac21e****c188c5f8179f

可疑对象ID

threat_file_path

String

c:\users\mimikatz.exe

可疑文件在用户机器上的路径

threat_file_hash

String

7862ac21eb3f8c4e8247c188c5f8179f

可疑文件 hash

threat_file_size

String

1355680

可疑文件大小

threat_file_type

String

win32exe

可疑文件类型

process_name

String

mimikatz.exe.zip

相关进程名称

threat_type

String

virus

威胁分类

raw_malware_name

String

Generic.Trojan.Mimikatz.Marte.!s!.A.301958EE

原始威胁名称

threat_level

Number

1

威胁等级

remediation

String

remind_only

默认处置方式

设备信息日志

<14>1 2023-05-24T13:10:14+08:00 - feilian 19461 - - {"did":"668d9d86e6f****8a98e62725","device_name":"JWVQRXWYXL","os":"Mac","os_ver":"14.6.1","os_model":"macOS 14.6.1","os_detail_version":"23G93","app_ver":"3014","brand":"Apple","model":"Mac15,6","language":"en-US","client_ip":"10.10.*.*","mac_addrs":"[\"4e:80:b2:60:15:8f\",\"66:6e:fe:47:42:2c\",\"66:6e:fe:47:42:2d\",\"a2:a9:97:42:15:e0\",\"36:0c:ed:a4:76:c0\",\"80:a9:97:42:15:e0\",\"66:6e:fe:47:42:0c\",\"36:0c:ed:a4:76:c4\",\"36:0c:ed:a4:76:c8\",\"66:6e:fe:47:42:0d\"]","serial_number":"JWVQRXWYXL","created_at":"2024-07-16T15:31:57+08:00","updated_at":"2024-08-26T17:07:07+08:00","is_live":true,"device_status":1,"device_info":{"product_id":"","serial_number":"JWVQRXWYXL","memory_total":36864,"memory_available":11619,"disk_total":471482,"disk_available":385065,"cpu_model":"Apple M3 Pro","cpu_serial_number":"","gpu_model":"Apple M3 Pro","nic_type":"Wi-Fi  (0x14E4, 0x4388)","login_user":"admin","is_vm":false,"nic_detail_list":[{"nic_type":"en2","mac_addr":"36:0c:ed:a4:76:c4","active":false,"description":"en2","has_traffic":false,"ipv4":"","ipv6":[],"is_default":"0"},{"nic_type":"en4","mac_addr":"66:6e:fe:47:42:0c","active":false,"description":"en4","has_traffic":false,"ipv4":"","ipv6":[],"is_default":"0"}],"os_install_date":1720556814,"ssd_serial_numbers":["0ba0225c433cd629"]},"ext_attr_list":[{"id":86,"def":{"id":86,"name":"是否是公司设备","key":"是否是公司设备","desc":"","type":3,"is_required":false,"is_unique":false},"value":true}],"groups":[{"id":6,"name":"公司资产","mode":2},{"id":107,"name":"设备分组示例","mode":2}],"user_id":"ou_PO1***P2Va","full_name":"username","mobile":"","email":"abc@def.com","department_id":"od_yN***vzz","status":1,"department_path":"example/xxxx/yyyy","icon_url":"https://xxxxxxx","roles":[{"name":"Employees","id":"or_N1**EV"}],"third_party_user_id":"92**3e1"}

字段

类型

示例

描述

x_key

String

device_info

日志类型

did

String

62d9065661a6e66*****0ec839b

设备 did

device_name

String

Example's Device

设备名称

os

String

Windows

操作系统

os_ver

String

10

系统版本

os_model

String

macOS 14.6.1

操作系统类型

os_detail_version

String

23G93

操作系统详细版本

app_ver

String

2.0.13

飞连的版本号

brand

String

Apple

品牌

model

String

MacBookPro16,2

型号

language

String

zh-CN

语言

client_ip

String

10.10.10.*

客户端 IP

mac_addrs

String

4e:80:b2:60:15:8f

MAC 地址

serial_Number

String

5053565a4331384b365134373...

设备序列号

created_at

String

2006-01-02 15:04:05.999 -0700 MST

创建时间

updated_at

String

2006-01-02 15:04:05.999 -0700 MST

更新时间

software_num

Number

1

软件数量

is_live

bool

1

是否活跃

device_status

Number

0

设备状态:

  • 0:设备失效
  • 1:设备活跃
  • 2:设备休眠

device_info

Object

设备信息

. product_id

String

产品 ID

. serial_Number

String

JWVQRXWYXL

序列号

. memory_total

Number

36864

总内存大小,单位 MB

. memory_available

Number

11619

可用内存大小,单位 MB

. mem_serial_Numbers

Array of String

内存序列号

. disk_total

Number

500000

总磁盘大小,单位 MB

. disk_available

Number

100000

可用磁盘大小,单位 MB

. cpu_model

String

Apple M3 Pro

CPU 型号

. cpu_serial_Number

String

CPU 序列号

. gpu_model

String

Apple M3 Pro

GPU 型号

. nic_type

String

en4

网卡型号

. login_user

String

admin

用户名称

. is_vm

bool

false

是否虚拟机

. nic_detail_list

Array of Object

网卡详情

. nic_type

String

en2

网卡类型

. mac_addr

String

36:0c:ed:a4:76:c4

MAC 地址

. active

bool

false

是否活跃

. description

String

en2

描述

. os_install_date

String

1662626747

安装时间,格式为 Unix 时间戳(秒)

. hdd_serial_Numbers

Array of String

磁盘序列号

. ssd_serial_Numbers

Array of String

["0ba0225c433cd629"]

磁盘序列号(固态)

ext_attr_list

Array of Object

拓展属性列表

. id

Number

86

属性值 ID

. def

Object

{"id":86,"name":"是否是公司设备","key":"是否是公司设备","desc":"","type":3,"is_required":false,"is_unique":false}

属性定义

. value

any

属性值

groups

Array of Object

设备分组

. id

Number

1

主键 ID

. name

String

xxx

分组名称

. mode

Number

1

区分手动/自动

user_id

String

ou_xxx

用户的ID,格式为: ou_xxx

full_name

String

张三

用户姓名

mobile

String

18800001111

用户手机号

email

String

zhangsan@example.com

用户邮箱

department_id

String

od_xxx

部门的 ID,格式为: od_xxx

status

Number

1

用户状态:

  • 1:启用
  • 2 :禁用
  • 3 :离职

department_path

String

/1/2

所属部门路径

icon_url

String

/api/v1/attach/download?key=xxxxx

用户头像

third_party_user_id

String

三方用户 ID

roles

Array of Object

角色

. name

String

角色 A

角色名称

. id

String

or_xxx

角色 ID,格式为:or_xxx

FAQ

日志外发是实时外发吗?

正常情况下,日志会在其产生后的 1 分钟内进行外发。若因用户操作停止或网络异常,则会在工作任务恢复后从上次外发成功的最后一条日志开始。若为首次配置,仅外发最新日志,不会追溯到之前的历史日志。

网络异常时,日志外发会重发吗?

当遇到网络错误时,暂无重试次数上限,请确保网络环境良好。

  • 对于 ElasticSearch 外发模式,若ElasticSearch服务返回参数错误,则会丢弃此日志,不再重试。
  • 对于 SYSLOG UDP 外发模式,由于 UDP 协议无法保证通信成功,因此始终只会发送一次,不再重试。