日志审计功能主要用于记录内网用户的上网行为,并实现深入的内容审计。通过日志审计,管理员知道在什么时间、哪个用户、做了什么,能够时刻掌握用户动态,为网络管理提供决策依据。通过对内网用户上网行为实施记录审计,能够在发生网络违法事件的时候通过审计日志追查相关责任人,避免由企业承担相应法律责任。
用户行为审计需要用户的流量经过控制器才可审计,而本地转发的数据从AP直接出去,并不需要到控制器转发。故要实现本地转发的用户行为审计,配置与集中转发的审计存在部分差异。
本地转发日志审计实现原理:本地转发时,AP将用户上网的每个会话的前几个数据包镜像到无线控制器用于识别/记录用户访问的应用,达到实现本地转发审计用户行为的需求。 对于AP远程部署的场景,必须采用本地转发日志审计。
以下相关功能配置均基于 NAC3.11.0版本
2.1.1开启审计功能
1)首先确认应用识别&URL识别序列号和用户审计序列号处于有效期内
2)然后在【系统管理】->【服务管理】->【服务配置】中打开以下的功能
2.1.2创建角色并开启审计策略
1)在【认证授权】-【角色授权】-【用户审计策略】里创建一个用户审计的策略
2)在【角色授权】里创建一个角色,调用刚刚创建的审计策略
2.1.3关联SSID
1)在【接入点管理】-【无线网络】里点击对应的SSID,将其转发模式设置成 集中转发
2)点击【权限设定】,下拉选择刚刚创建好的角色
2.1.4效果展示
1)等待30分钟,点击【应用中心】->【日志中心】然后查看对应终端的行为
2)点击【应用中心】->【日志中心】然后查看对应终端的行为
2.2.1开启审计功能
1)首先确认应用识别&URL识别序列号和用户审计序列号处于有效期内
2)然后在【系统管理】->【服务管理】->【服务配置】中打开以下的功能
2.2.2创建角色并开启审计策略
3)在【认证授权】-【角色授权】-【用户审计策略】里创建一个用户审计的策略
4)在【角色授权】里创建一个角色,调用刚刚创建的审计策略
2.2.3开启本地转发识别控制策略
1)在【认证配置】->【认证授权】->【本地转发识别控制策略】->【选择控制模式】为基于服务&应用控制
2)创建一个流量处理策略,选择生效角色
2.2.4关联SSID
1)在【接入点管理】-【无线网络】里点击对应的SSID,将其转发模式设置成 本地转发
2)点击【权限设定】,下拉选择刚刚创建好的角色
2.2.5效果展示
1)等待30分钟,点击【应用中心】->【日志中心】然后查看对应终端的行为
2)点击【应用中心】->【日志中心】然后查看对应终端的行为
1)开启审计后,至少需要等待20分钟,才能在日志中心里看到审计日志。
2)在【应用中心】-【服务配置】里开启的服务,需要重启设备才能生效。
3)历史数据量大的时候,一般推荐客户隔天再进行查看。