你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
审核用户活动
在 OT 网络传感器和本地管理控制台上为 Azure 门户设置用户访问权限后,你会希望能够跟踪和审核所有Microsoft Defender for IoT 的用户活动。
审核 Azure 用户活动
使用 Microsoft Entra 用户审核资源审核 Defender for IoT 中的 Azure 用户活动。 有关详细信息,请参阅:
审核 OT 网络传感器上的用户活动
审核和跟踪传感器的“事件时间线”上的用户活动。 “事件时间线”显示传感器上发生的事件、每个事件影响的设备以及事件发生的时间和日期。
注意
默认的特权管理员用户和具有管理员角色的任何用户都支持此过程。
使用传感器的事件时间线:
以默认的特权管理员用户或具有管理员角色的任何用户登录到传感器控制台。
在传感器上,从左侧菜单中选择“事件时间线”。 确保筛选器设置为显示“用户操作”。
例如:
使用其他筛选器或使用 CTRL+F 进行搜索以查找你感兴趣的信息。
有关事件时间线的详细信息,请参阅使用事件时间线跟踪网络和传感器活动
在本地管理控制台上审核用户活动
重要
Defender for IoT 现在建议使用 Microsoft 云服务或现有的 IT 基础结构进行集中监视和传感器管理,并计划于 2025 年 1 月 1 日停用本地管理控制台。
有关详细信息,请参阅部署混合或气隙 OT 传感器管理。
若要在本地管理控制台上审核和跟踪用户活动,请使用本地管理控制台审核日志,该日志记录活动发生时的关键活动数据。 使用本地管理控制台审核日志了解在本地管理控制台上发生的更改、更改时间和更改执行者。
访问本地管理控制台审核日志:
登录到本地管理控制台,并选择“系统设置”>“系统统计信息”>“审核日志”。
该对话框显示当前活动审核日志中的数据。 例如: 。
例如:
每 10 MB 生成一个新的审核日志。 除当前活动日志文件外,还存储了一个之前的日志。
审核日志包括以下数据:
| 操作 | 记录的信息 |
|---|---|
| 了解警报并对其进行修正 | 警报 ID |
| 密码更改 | 用户、用户 ID |
| 登录 | 用户 |
| 用户创建 | 用户、用户角色 |
| 密码重置 | 用户名 |
| 排除规则 - 创建 | 规则摘要 |
| 排除规则 - 标记 | 规则 ID、规则摘要 |
| 排除规则 - 删除 | 规则 ID |
| 管理控制台升级 | 使用的升级文件 |
| 传感器升级重试 | 传感器 ID |
| 上传的 TI 包 | 未记录任何其他信息。 |
提示
你可能还希望导出审核日志,将其发送给支持团队进行额外的故障排除。 有关详细信息,请参阅从本地管理控制台导出日志进行故障排除。
后续步骤
有关详细信息,请参阅: