在企业数据管理与安全策略中,监控文件的增删改操作尤为关键。群晖NAS的日志中心(Log Center)为用户提供了集中化的日志收集与分析功能,其中“文件传输日志”可以帮助管理员追踪通过 FTP、SFTP、WebDAV 等协议传输的文件修改操作。本文将为您提供一份清晰的分步指南,帮助您通过文件传输日志识别文件修改行为,提升安全防护水平。
环境配置
- 需要 DSM 6.2 或以上版本。
- 需要 SRM 1.3.1 或以上版本。
- 您必须使用属于administrators群组的用户帐户进行操作。
操作教程
启用文件传输日志
默认情况下,此功能通常处于禁用状态。若要记录文件更改,请从要监控的文件传输协议的设置中启用传输日志。
| DSM | SRM | 备注 | |
|---|---|---|---|
| SMB (在 SRM 称为 Windows 档案服务) | 启用 SMB 日志 | 启用 Windows 文件服务日志 | 在 DSM 上,一次 传输日志已启用,它只会记录文件和文件夹的删除。您还可以在日志设置中选择其他文件操作事件。建议至少选择移动、删除和重命名。 |
| AFP | 启用AFP日志 | SRM 的 Mac 文件服务不支持文件传输日志。 | 由于 Apple 已移除对AFP的支持,因此建议您使用其他文件服务。 |
| FTP | 启用FTP日志 | 启用FTP日志 | FTP的传输日志会记录FTP、FTPS 和 SFTP 活动。 |
| File Station | 启用 File Station 日志 | 启用 File Station 日志 | |
| WebDAV Server | 启用WebDAV日志 | 不可用 |
观察文件传输日志
1. 进入日志中心>日志(适用于 DSM)或日志搜索(适用于 SRM)。
2. 从右上角的下拉菜单中选择文件传输。
3. 日志将显示每个事件的以下信息:
- 日志:用于此事件的文件传输协议类型。
- 时间:事件发生的日期和时间。
- IP地址:此事件的源IP地址。
- 用户:执行此事件的用户帐户。
- 事件:已执行的操作(例如Delete 、 Move 、 Rename )。
- 文件/文件夹:此事件涉及的文件类型(文件或文件夹)。
- 文件大小:文件大小(文件夹显示为NA )。
- 文件名:事件中涉及的文件或文件夹的路径。
搜索特定日志
添加搜索条件以查找位于文件传输中的特定日志。例如,如果您要搜索与photos文件夹相关且在March 19 and March 24, 2023之间发生的SMB删除事件,请执行以下步骤。
1. 单击
放大镜图标并输入搜索条件。 1
2. 单击搜索可查看结果。
保留日志
我们建议您保留日志,因为一旦达到限制,它们就会轮换:
| 日志类型 | 限制 |
|---|---|
| 连接日志 | 10,000 |
| 传输日志 - SMB | 100,000 |
| 传输日志 - AFP | 20,000 |
| 传输日志 - File Station | 20,000 |
| 传输日志 - FTP | 20,000 |
| 传输日志 - TFTP | 10,000 |
| 传输日志 - WebDAV | 20,000 |
请按照以下步骤保留日志:
请按以下步骤查看归档日志:
- 对于 DSM:
- 进入日志中心>日志>存档,然后 从右上角的下拉菜单中选择打开日志存档。
- 单击打开日志存档。
- 从右上角的下拉菜单中选择文件传输。 3
- 对于 SRM:
- 进入日志中心>日志搜索>归档。
- 选择存档的数据库并单击选择。 3
备注: