启用和禁用在活动日志中记录信息

要启用或禁用将 Kaspersky Anti Targeted Attack Platform Web 界面中的用户操作信息记录到活动日志中：

1. 选择应用程序 Web 界面窗口中报告部分的活动日志子部分。
2. 执行以下操作之一：
   • 如果您想要在应用程序 Web 界面中启用记录有关用户操作的信息，请设置活动日志切换开关至已启用位置。
   • 如果您想要在应用程序 Web 界面中禁用记录有关用户操作的信息，请设置活动日志切换开关至已禁用位置。

     默认情况下启用此功能。

信息会在 user_actions.log 文件中记录 30 天。30 天后，user_actions.log 文件将保存在中央节点服务器的 /var/log/kaspersky/apt-base/ 目录中，名称为 user_actions.log<month>。一个名为 user_actions.log 的新文件将被创建来记录当月的信息。每个文件将被保留 90 天，然后被删除。

要查看活动日志文件，您必须下载它们。

您可以配置将应用程序 Web 界面中的用户活动信息记录到远程日志。远程日志被保存到安装了 SIEM 系统的服务器上。必须配置与 SIEM 系统的集成设置 以写入到远程日志。

在分布式解决方案模式中，有关应用程序 Web 界面中的用户操作的信息记录在用户管理 Web 界面的同一服务器的日志中。有关影响 SCN 服务器设置的 PCN 服务器用户操作的信息记录在 PCN 服务器日志中。

具有安全审计员角色的用户只能查看用于将信息记录到活动日志的设置。