Cisco Cisco Firepower Management Center 4000 User Guide

69-8

FireSIGHT 系统用户指南

第 69 章      审计系统       

  管理审计记录

搜索审计记录

许可证：任何环境

您可以搜索审计记录以查找某个用户、具体子系统或审计记录消息的特定信息。

您可能想要创建为自己的网络环境订制的搜索，然后保存这些搜索以便以后再用。下表介绍可用
的搜索条件。请注意，审计搜索不区分大小写。例如，搜索 

Analyst01

 或 

analyst01

 将获得相同

的结果。

有关搜索的详细信息，包括如何加载和删除已保存搜索，请参阅

。

要搜索审计记录，请执行以下操作：

访问：管理

步骤 1

选择 

。

系统将显示 Search 页面。

步骤 2

从表下拉列表中选择 

。

系统将显示 Audit Log 搜索页面。

提示

要在数据库中搜索另一类型的事件，请从表下拉列表选择它。

表 

审计记录搜索条件 

搜索字段

说明

示例

用户

输入触发您想要查看的审计事件的用户的用
户名。您可以在该字段中使用星号 (

*

) 作为

通配符。

jsmith

 会返回所有涉及用户 jsmith 的审计记录。

Subsystem

输入用户会采用的完整菜单路径以生成您想
要查看的审计记录。您可以在该字段中使用
星号 (

*

) 作为通配符。

System > Monitoring > Audit

 和 

*Audit

 均会返回

涉及使用审计日志的审计记录。

*Audit*

 会返回所有上述记录，以及涉及审计记录

搜索的记录。

通信

用户执行的操作或用户在页面上点击的按
钮。您可以在该字段中使用星号 (

*

) 作为通

配符。

Apply

 会返回用户运用了入侵策略的审计记录。

Save Rule

 会在用户保存某个关联性规则时返回审

计记录。

Page View

 会在用户查看页面时返回审计记录。

时间

指定审计记录生成的日期和时间。有关时间
输入语法，请参阅

。

> 2006-01-15 13:30:00

 会返回 2006 年 1 月 15 日

下午 1:30 之后所生成的所有审计记录。

源 IP：

输入您想要查看审计记录的主机的 IP 地址。

注

您必须输入特定 IP 地址。在搜索审
计日志时，您不能使用 IP 范围。

172.16.1.37

 会返回用户从 172.16.1.37 IP 地址生

成的所有审计记录。

Configuration 
Change

指定是否要查看配置更改的审计记录。

Yes

 会返回配置更改的审计记录。