Visualización del registro de auditoría

Symantec Endpoint Detection and Response
contiene un registro de auditoría que muestra la actividad generada por el usuario que se realizó a través de la consola o la API. Solamente los usuarios con derechos de administrador pueden ver el registro de auditoría.
La actividad generada por el usuario incluye los siguientes eventos:
  • Inicio de sesión, cierre de sesión, inactividad y bloqueo de la cuenta
  • Error, restablecimiento y cambio de contraseña
  • Creación, modificación o eliminación de la cuenta de usuario
    Incluye cuentas locales y configuración de cuentas mediante Active Directory.
  • Cambios de políticas
    Incluye la creación, la eliminación y la modificación de entradas en la política de la lista de aceptación y en la política de la lista de denegación.
    Los comandos que se emiten en entidades (por ejemplo, aislamiento de endpoints) no aparecen en el registro de auditoría. Estos eventos aparecen en el registro de acciones.
  • Cierre de incidentes
  • Configuración o cambios de configuración de
    Symantec EDR
    Por ejemplo, habilitar la configuración de SNMP o eliminar un controlador de SEPM.
Symantec EDR
admite el envío de eventos de registro de auditoría a Syslog. Además, admite la copia de seguridad de eventos del registro de auditoría.
Solamente los eventos de depuración del registro de auditoría ocurren como resultado de la presión del disco, mientras que los eventos de los registros de auditoría son los últimos elementos en depurarse. Si se seleccionan eventos de registros de auditoría que para depuración, los eventos más antiguos se depurarán primero. Haga clic en el siguiente vínculo para obtener más información sobre cómo
Symantec EDR
depura su base de datos.
  1. En el panel de navegación izquierdo, haga clic en
    Logging
    (Registro) y, a continuación, seleccione la ficha
    Audit
    (Auditoría).