活动监控

EventLog Analyzer 会处理整个网络的日志数据，并提供关于网络设备和用户会话活动的报告。您可以通过单击活动监控（位于关联选项卡下）来访问这些报告。

活动监控规则

您可以使用 EventLog analyzer 中的预定义规则来生成会话活动报告，或者使用单独的操作自行构建规则。

预定义活动规则

• 前往 关联 > 管理规则 > 活动规则。
• 选择要使用的预定义规则，点击启用图标并确认。

自定义活动规则

要打开活动规则构建器，请转到 关联 > 管理规则 > 活动规则 > 创建活动规则。

1. 从屏幕左侧的分类操作列表中选择构成该规则的各个操作。

• 您还可以使用列表顶部的搜索栏查找操作。
• 您可以拖放这些操作以重新排列它们的顺序，或者点击其右侧的删除图标即可删除该操作。
• 要检测在特定时间间隔内相同操作的重复发生，请勾选 “阈值限制”复选框，并输入发生次数和时间间隔。

高级选项

活动规则中的每个操作都对应一条日志。日志包含多个字段，每个字段都有特定的值。通过高级选项（位于该操作右侧的筛选器下），你可以为日志/操作的每个字段提供筛选条件，并指定该操作的最小重复次数阈值。

1. 您可以从提供的下拉列表中选择一个筛选字段。下拉列表中提供的字段可能会根据所选操作而有所不同。
2. 您可以将比较类型选择为等于、不等于、包含、开头为、结尾为、链接到，或是常量，从提供的下拉菜单中进行选择。

注意：当你为一次等于 比较提供多个值时，所提供的值集合会被视为可能值列表，只要列表中的任意一个值为真，操作就会被接受。对于包含、以……开头，以及 以……结尾 比较，同样如此。

当你提供多个不等于比较时，所提供的每个值对应的条件都必须为真，操作才会被接受。

链接到

链接到比较类型用于将所选字段的值与另一操作中的字段值进行比较（该操作属于同一规则，或属于另一规则的主操作）。例如，如果 Action 1 的设备类型字段链接到 Action 2 的设备类型值，则仅当两个已链接字段的值相同，Action 1 才会被触发。

当您选择链接到时， 图标会出现在筛选器的末尾。单击该图标将打开一个新标签页。

单击与第二个操作中相应字段对应的复选框，以将上一个操作的值与该字段进行比较。单击“确定”以完成两个操作的关联。

是否为常量

为常量选项用于 将特定字段视为常量。选择此选项后，只有当该字段的值在所有迭代过程中保持不变时，规则才会接受这组重复的操作。 例如，如果将目标用户 字段保持为常量，那么只有当该字段的值在所有迭代中保持不变时才会触发该操作。如果生成的事件具有不同的值，则不会触发该操作。

活动监控报告

EventLog Analyzer 的活动监控报告提供有关 Windows、Unix 和 VPN 会话的信息。这些报告提供诸如设备名称、用户名、开始时间、结束时间、状态和持续时间等详细信息。

EventLog Analyzer 提供以下用于活动监控的报告：

• 适用于 Windows 计算机的交互式会话、远程交互式会话和 PMP 会话。
• Unix 会话报告，为您提供所有 Unix 会话的全部详细信息。
• 适用于相应 VPN 设备的 VPN 会话报表，例如 Cisco VPN 会话、Fortinet VPN 会话、Sonicwall VPN 会话、Huawei VPN 会话、H3C VPN 会话、Meraki VPN 会话、PaloAlto VPN 会话和 WatchGuard VPN 会话。
• 如果有，自定义报告也会显示在活动监控部分中。

日历小部件允许你选择用于查看所选设备/用户会话活动的时间段。你还可以安排活动监控报告。单击导出为即可将活动监控报告导出为 PDF 和 CSV 格式。

若要了解某个会话的更多详细信息，您可以点击查看历史。此选项卡会显示如下所示的所有详细信息：

此页面包含配置字段和高级视图选项卡。配置字段选项卡允许您通过提取具有相同字段值（域、设备名称、登录 ID 和用户名）的日志，查看在会话中生成的相似日志。您可以通过点击下拉框中的所需选项，选择用于检索日志的字段。点击高级视图选项卡，您可以深入查看该会话的原始日志。

查看活动监控报告

EventLog Analyzer 除了默认视图外，还允许您以基于用户的视图和基于设备的视图查看按用户和设备划分的 Windows、Unix 和 VPN 会话活动监控报告。

在基于用户的视图中，您可以分析特定用户每周的登录和注销活动。将鼠标指针悬停在表格中生成的基于用户的报告上，即可找到每周登录视图选项卡。单击此选项卡会显示一周中每一天的时间线图，您可以查看特定用户在任意一天的活跃会话时长、登录时间和注销时间。此视图还提供该用户每天以及整周的活跃小时数。每周登录视图报告仅对所有系统生成的报告可用。