Affichage du journal d'audit

Symantec Endpoint Detection and Response
contient un journal d'audit qui affiche l'activité générée par l'utilisateur qui est exécutée par le biais de la console ou de l'API. Seuls les utilisateurs avec des droits d'administrateur peuvent afficher le journal d'audit.
L'activité générée par l'utilisateur inclut les événements suivants :
  • Connexion de l'utilisateur, déconnexion, inactivité et verrouillage de compte
  • Erreur de saisie du mot de passe, réinitialisation et modification du mot de passe
  • Création, modification ou suppression du compte utilisateur
    Inclut les comptes locaux et la configuration de comptes via Active Directory.
  • Modifications de la politique
    Inclut la création, la suppression et la modification des entrées dans la stratégie de liste verte et dans la stratégie de liste d'exclusion.
    Les commandes qui sont émises sur des entités (telles que l'isolation des terminaux) n'apparaissent pas dans le journal d'audit. Ces événements apparaissent dans le journal d'actions.
  • Fermeture de l'incident
  • Modifications de la configuration ou des paramètres
    Symantec EDR
    Par exemple, l'activation des paramètres SNMP ou la suppression d’un contrôleur SEPM .
Symantec EDR
prend en charge l’envoi d’événements de journal d’audit à syslog. Il prend également en charge la sauvegarde des événements de journal d’audit.
La purge des événements de journal d'audit se produit uniquement en raison d'une pression de disque et les événements de journaux d’audit sont les derniers éléments purgés. Si les événements de journaux d’audit sont sélectionnés pour être purgés, les événements les plus anciens sont supprimés en premier. Cliquez sur le lien suivant pour en savoir plus sur la façon dont
Symantec EDR
purge sa base de données.
  1. Dans le panneau de navigation de gauche, cliquez sur
    Logging (Consignation)
    et sélectionnez l'onglet
    Audit
    .