重新加载归档日志
本页内容:
概述
ManageEngine Log360 Cloud允许从归档中重新加载日志数据以进行分析。归档的 日志数据 在取证分析中通常起着关键作用,允许管理员回顾过去事件并识别可能表明安全问题的差异。它们也可作为数据泄露时的证据。本页说明如何重新加载归档日志。
重新加载归档日志的步骤
- 登录您的Log360 Cloud账户。
- 导航到 设置 选项卡。
- 在左侧窗格中选择 管理员.
- 在 数据存储下,点击 重新加载归档日志.
图1:导航到重新加载归档日志
- 在重新加载归档日志页面,点击 创建请求页面.
图2:创建新请求页面
- 在 创建重新加载请求 页面,填写以下字段。
- 名称:输入重新加载请求的名称。
图3:输入名称
- 存储层级:从下拉菜单中选择合适的存储层级。
图4:选择存储层级
注意:重新加载包括归档日志和
被覆盖的 搜索存储日志。
- 默认和自定义存储层级:默认情况下,所有日志源和类型均被选中。
- 若要选择特定日志源,点击
图标。
- 在 选择日志源 窗口,选择所需源并点击 添加.
图5:选择日志源
- 您可以从下拉菜单中选择特定日志类型。
图6:选择日志类型
- 警报存储层级: 默认情况下,所有警报配置文件均被选中。
- 若要选择特定配置文件,点击 图标。
- 在 选择警报配置文件 页面,选择所需配置文件并点击 应用.
图7:选择警报配置文件
- 关联存储层级: 默认情况下,所有关联规则均被选中。
- 若要选择特定规则,点击 图标。
- 在 选择规则 页面,挑选所需规则并点击 应用.
图8:选择规则
- 时间范围:指定需要重新加载日志的时间范围并点击 应用.
注意:默认情况下,时间范围选择器受归档保留期限或搜索存储日志覆盖期限限制。
图9:指定时间范围
- 保留期限: 设置重新加载日志应保留的天数。
注意:最大可选择5天的存储保留期限。
图10:设置保留期限
- 点击 高级条件 部分以应用筛选条件。
注意:高级条件仅可为默认和自定义存储层级配置。
图11:配置高级条件
- 点击
图标 以添加额外筛选条件。使用 AND 表示所有条件必须为真。使用 OR 表示至少一个条件为真即可。
- 若要添加多个条件,点击 + 添加组 并为每组定义条件和逻辑运算符。
- 点击 创建 提交请求。
- 创建后,您将被重定向到 重新加载归档日志 页面。在此处,您可以管理和监控您的请求。
注意:最多同时持有50个活动索引。如果您仍希望创建新请求,请删除现有请求或等待其过期。
图12:查看重新加载请求
- 您可以点击
图标 暂停索引,并点击 
图标至 恢复索引.
- 将鼠标悬停在请求上并点击 查看报告 以查看特定存储层的报告
注意:对于关联存储层,当归档日志重新加载时,报告中的时间线视图将不可用。
图13:查看报告
注意:根据您的通知设置,您将通过电子邮件和短信收到有关重新加载历史日志的警报。
- 点击 查看详情 以查看所有配置的请求详情。
图14:查看请求详情
- 删除请求。点击
要删除的请求旁边的图标。
- 在确认弹出窗口中点击 是 以删除请求。
图15:删除请求
