บทนำ
Sangfor IAG มีฟีเจอร์ Activity Audit ที่ช่วยบันทึกและตรวจสอบพฤติกรรมการใช้งานอินเทอร์เน็ตของผู้ใช้ภายในองค์กร โดยสามารถตรวจสอบ Access Log ได้ผ่าน Report Center ทั้งแบบ Internal และ External ข้อมูลที่บันทึกได้ครอบคลุมหลายประเภท เช่น การเข้าเว็บไซต์ การส่ง Email การใช้งาน IM (Instant Messaging) การอัปโหลด/ดาวน์โหลดไฟล์ผ่าน FTP และการใช้งาน Application ต่างๆ บทความนี้อธิบายวิธีการตั้งค่า Audit Policy และการตรวจสอบ Access Log บนอุปกรณ์ IAG
ข้อกำหนดเบื้องต้น
- เข้าสู่ระบบ Web Console ของ Sangfor IAG ด้วยสิทธิ์ Administrator
- Internal Report Center หรือ External Report Center ต้องเปิดใช้งานอยู่ เพื่อให้ระบบเก็บบันทึก Log
- ต้องมี Audit Policy ที่ตั้งค่าไว้แล้ว จึงจะมีข้อมูล Log ให้ตรวจสอบ
ขั้นตอนที่ 1: ตั้งค่า Audit Policy (Internet Access Audit)
ไปที่เมนู Access Mgt > Access Audit จากนั้นคลิก Add แล้วเลือก Internet Access Audit
1.1 เปิดใช้งาน Policy
ทำเครื่องหมายที่ Enabled กำหนด Name และ Description ของ Policy
1.2 ตั้งค่า Audit Application (แท็บ Options)
เลือก Application จากเมนูด้านซ้าย แล้วคลิก Add > Item เพื่อเลือกประเภทข้อมูลที่ต้องการ Audit:
- HTTP Data Outgoing - ตรวจสอบข้อมูลที่ส่งออกผ่าน HTTP เช่น Web-based BBS posting, Web Mail contents, Web-based attachment upload, Microblogging contents
- Website Browsing/Downloads - บันทึก URL ที่เข้าชมและชื่อไฟล์ที่ดาวน์โหลด สามารถเลือก All หรือ Specified URL categories ได้
- Email - ตรวจสอบ Outgoing email (SMTP) และ Incoming email (POP3/IMAP)
- IM - ตรวจสอบข้อความ Instant Messaging เช่น MSN, Yahoo, Google-Talk, WebQQ
- FTP - ตรวจสอบการอัปโหลดและดาวน์โหลดไฟล์ผ่าน FTP
- Telnet - ตรวจสอบคำสั่งที่รันผ่าน Telnet (Port 23)
- Application - ตรวจสอบการเข้าถึง Application อื่นๆ
1.3 ตั้งค่า Flow/Online Duration
เลือก Flow/Online Duration เพื่อเก็บสถิติ Traffic และระยะเวลาการใช้งานอินเทอร์เน็ต:
- Log application traffic based on user group - เก็บสถิติ Traffic แยกตาม User Group
- Log application traffic for each user as well - เก็บสถิติ Traffic แยกตามผู้ใช้แต่ละคน
- Log online duration for each user based on application - เก็บระยะเวลาการใช้งานอินเทอร์เน็ตของแต่ละ Application
- URL access traffic / URL access duration - เก็บสถิติ Traffic และระยะเวลาการเข้าถึง URL
1.4 ตั้งค่า Webpage Content (ไม่บังคับ)
เลือก Webpage Content หากต้องการ Audit เนื้อหาของเว็บเพจที่ผู้ใช้เข้าชม สามารถเลือก:
- Audit webpage caption and contents - บันทึกหัวข้อและเนื้อหาของเว็บเพจ
- All URL categories หรือ Specified URL categories - เลือก Audit ทุกหมวดหมู่หรือเฉพาะที่กำหนด
- Keyword - กำหนด Keyword เฉพาะที่ต้องการตรวจจับ โดยเลือก Action เป็น Log contents, Reject หรือ Log contents & reject requests
1.5 กำหนด Object
คลิกแท็บ Object เพื่อกำหนดกลุ่มผู้ใช้ที่ต้องการ Audit
1.6 บันทึก Policy
คลิก OK เพื่อบันทึก Audit Policy
ขั้นตอนที่ 2: ตรวจสอบ Access Log ผ่าน Report Center
หลังจากตั้งค่า Audit Policy แล้ว ระบบจะเริ่มบันทึก Log ตามที่กำหนด สามารถตรวจสอบ Log ได้ดังนี้:
2.1 ตรวจสอบผ่าน Internal Report Center
เข้าถึง Internal Report Center โดยไปที่ System > Report Center > Internal Report Center หรือเข้าผ่าน Web Browser โดยใช้ URL ของ Report Center (Username และ Password เริ่มต้นคือ admin/admin)
2.2 ตรวจสอบผ่าน External Report Center
หากตั้งค่า External Report Center ไว้ สามารถเข้าถึง Report Center ผ่าน Web Browser โดยใช้ IP Address ของ External Report Center Server คลิกที่ External Report Center ในหน้า Sync Policy เพื่อเข้าสู่หน้า Login ของ Report Center
2.3 ค้นหาและกรอง Log
ใน Report Center สามารถค้นหา Access Log ได้โดย:
- กรองตาม User หรือ User Group
- กรองตามช่วงเวลา (Date Range)
- กรองตามประเภทของ Log เช่น Website Access, Email, IM, Application
- ค้นหาด้วย Keyword
การตรวจสอบ
- ยืนยันว่า Audit Policy แสดงสถานะ Enabled ในหน้า Access Audit
- เข้า Report Center แล้วค้นหา Log ของผู้ใช้ทดสอบ เพื่อยืนยันว่าระบบบันทึก Log ได้ถูกต้อง
- ตรวจสอบว่าประเภทข้อมูลที่เลือก Audit ปรากฏใน Log ตามที่คาดหวัง
หมายเหตุ
- Audit Policy จะไม่มีผลหากไม่ได้ทำเครื่องหมายที่ Enabled
- การเลือก Access to unidentified applications จะทำให้เกิด Log จำนวนมาก แนะนำให้ใช้ค่าเริ่มต้นที่ไม่เลือกตัวเลือกนี้
- การเลือก Web-based text upload จะทำให้เกิด Log จำนวนมากเช่นกัน แนะนำให้เลือกเฉพาะ Web-based BBS posting และ Web Mail contents แทน
- หาก Behavior Audit เปิดใช้งาน โมดูล Content Audit จะไม่สามารถใช้งานได้พร้อมกัน
- สามารถกำหนดระดับรายละเอียดของ URL Logging ได้ที่ Access Mgt > Advanced > Logging
- Email Audit รองรับเฉพาะโปรโตคอล POP3/IMAP และ SMTP เท่านั้น
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น