ADAP如何审计登录类型为3的日志？

按照如下图所示，开启网络登录类型的审核即可：

1.

2.

• Related Articles

• M365 Manager Plus存储的日志是所有的M365日志还是产品里面需要的日志？

  我们尽可能的从Microsoft 管理门户收集所有可用的日志。

• 如何审计无预置报表日志源的日志？

  对于那些无预置报表日志源的日志，ELA也可以进行审计并可以自制报表与告警。 可以采用以下两种方式获取日志： 1. 通过转发Syslog日志的方式转发到ELA上。 2. 从 ELA 导入要审计的日志。 待日志接收到ELA平台之后，可以通过“搜索” 模块对这些日志进行自定义日志解析、自定义报表以及自定义告警等操作。

• 审计到的日志没有路径怎么回事儿？

  问题：审计到的日志如下图没有路径怎么回事儿？ 方案： 对于审计的文件，DSP需要具有该文件的“系统”权限才能获取其“本地路径”。如果没有该权限，它将显示“文件名”。以下图方式对文件进行检查：

• ELA-删除设备后它之前的日志数据可以恢复吗？

  当您删除设备时，一定会有如下提示，然后设备的日志数据也会随之从产品中删除： 即使用户重新在产品中又添加了该设备，那该设备在产品中的DeviceID标识也是变了的，它又是一个全新添加的设备了，由于之前的报表、告警、相关性等数据在当时删除设备时已全部删除，所以我们可以考虑它的归档日志文件有可能还在。 如果归档文件还在，用户可通过“导入日志”办法查看以前的日志数据： -找到该设备之前在归档路径中的文件（gz压缩文件）： ...

• ELA日志接收器显示有日志进来，但是报表和搜索中都无法搜到对应的日志，怎样解决？

  问题：sophos的防火墙设备已经配置了日志转发，ELA的日志收集器显示已经收到了日志，但是报表和搜索中都无法搜到对应的日志。 解决方案：经过排查，是ELA的服务器开启了防火墙，关闭防火墙后日志可以正常显示。如需要继续开启防火墙，可以打开对应的端口：UDP 513, 514或者TCP 514，这个端口是基于Sophos中配置的端口的，然后对应开启ELA服务器的入站UDP513或514或TCP 514即可。