查看管理员日志

日志区域(管理 > 日志)中,您可以查看 Vault 内的操作的历史记录。此区域中可能有多个页面,每个页面显示不同操作类型的历史记录。

如何导出审计日志

导出审计日志:

  1. 打开您希望导出的数据(系统、文档等)的页面。
  2. 使用快速历史记录下拉菜单设置日期范围。您还可以通过输入日期并单击获取历史记录来选择范围。如果您正在查看文档审计历史记录,还会有不同的筛选器选项。请参阅下文
  3. 单击操作菜单(由齿轮图标表示)并选择 CSV文本PDF。如果设置了启用多语言文档处理选项,则将只有 TXTPDF 选项可用。

导出为 CSV

导出的 CSV 文件以稍微不同的格式显示信息。例如,CSV 文件将每个事件的详细信息分隔成单独的列。

导出为 CSV

导出为 PDF

导出为 PDF 时,Vault 将为 PDF 添加页码和封面。拥有正确访问权限的管理员可以修改封面模板。所有审计历史记录和审计跟踪均使用相同的审计导出封面模板。

关于导出限制

Vault 对于您在单个请求中可以查看和导出结果的天数有限制。如果您需要导出更长时间的历史记录,可以多次导出,每次更改日期筛选条件。

  • 系统审计历史记录:最多 31 天的结果
  • 登录审计历史记录:无限制
  • 文档审计历史记录:无限制
  • 域审计历史记录:最多 14 天(两周)的结果
  • 对象记录审计历史记录:无限制
  • 调试日志:每个日志最多 30 天的结果
  • 运行时日志:每次最多 1 天的结果,时间为过去最多 30 天
  • API 使用日志:每次最多 1 天的结果,时间为过去最多 30 天

系统审计历史记录

系统审计历史记录页面显示 Vault 级配置和设置更改,例如,对文档类型、工作流或对象配置的更新。此页面还显示 Vault 加载程序操作。对于每个事件,您可以查看时间戳、做出更改的用户、受影响的项以及描述。请注意,当用户重新排序某些组件(例如文档生命周期状态或用户操作)时,Vault 不会在系统审计历史记录中捕获这些更改。

系统审计历史记录

登录审计历史记录

登录审计历史记录页面显示用户身份验证事件,包括用户登录、失败的登录尝试以及密码更改。对于每个事件,您可以查看时间戳、用户的登录名、起源 IP 地址、事件类型、用户的浏览器、用户的平台和 Vault ID。

登录审计历史记录

登录类型

用户在域级别存在,用户登录发生在域级别。每次用户访问当前 Vault 时,登录审计历史记录显示 Vault 级身份验证事件。在有些情况中,它还显示域级别身份验证。

类型字段告诉您发生了哪种事件:

  • 企业主页身份验证标识域级别登录事件。如果没有其他 Vault 身份验证事件,此用户不会访问当前 Vault。
  • 如果用户在登录另一个 Vault 或登录“我的 Vault”后访问当前 Vault,将会出现 Vault 身份验证
  • 用户登录意味着用户直接登录到当前 Vault。对于不成功的登录(密码错误等原因)也会出现这种类型。
  • SSO 登录表示用户已使用单点登录安全策略登录。
  • OAuth 登录显示 OAuth/OpenID Connect 配置文件的名称。
  • 授权访问表示授权用户已登录授权的 Vault。Vault 将用户名显示为:{delegate} 代表 {delegator}。

上次登录时间信息

查找特定用户的上次登录时间日期和时间的最轻松的方法是从管理 > 用户和组 > 用户中查看。

多 Vault 域的 Vault 上下文

Vault 用户帐户和登录发生在域级别,这意味着多 Vault 域中的管理员需要知道用户登录到的具体 Vault。要了解单个登录事件的 Vault ID,请查看或下载登录审计历史记录。

将会出现下列登录事件类型的 Vault ID:

  • Vault 认证
  • 用户登录
  • 企业主页登录
  • SAML 身份验证
  • OAuth 2.0/OpenId Connection 身份验证

仅记录 Vault 特定事件的 Vault ID。对于域级别事件,审计日志将不会填充 Vault ID。例如,当未被分配到任何 Vault 的用户登录时,该审计条目将不包括 Vault ID

文档审计历史记录

文档审计历史记录页面显示与文档有关的事件,包括视图、作为链接发送操作、任务完成以及对文档字段的修改。对于每个事件,您可以查看时间戳、用户的登录名、受影响的项以及描述。

请参阅审计的操作完整列表。文档审计历史记录包括已删除文档的审计条目,包括每个文档删除操作的条目。

筛选文档审计历史记录

在页面顶部,您将会看到默认情况下,审计日志已按照时间戳筛选,时间是最后一天。您可以从第二个下拉菜单中选择其他时间范围。

更改或添加文档审计历史记录的筛选器:

  1. 从下拉菜单中选择时间戳事件用户
  2. 可选:如果您选择了时间戳,则在右侧的下拉菜单中选择日期范围。如果已选择范围内,则会显示两个额外的日期字段。单击每个字段可选择范围的开始日期和结束日期。
  3. 可选:如果已选择事件,则会显示运算符 In 和第二个下拉菜单。从第二个下拉菜单中选择目标事件。单击应用
  4. 可选:如果您选择了用户,将会出现运算符等于和第二个下拉菜单。从第二个下拉菜单中选择目标用户。可以选择多个用户,但不能选择用户组。
  5. 可选:单击蓝色的添加筛选器按钮以添加任何剩余筛选器(时间戳事件用户)。
  6. 单击应用以更新表。

筛选文档审计历史记录

关于 OAuth / OpenId Connect 身份验证事件日志记录

启动和停止 OAuth 2.0 / OpenID Connect 事件日志时,Vault 会在域审计历史记录中存储下列详细日志记录信息。

  • 时间戳:事件发生的时间
  • 用户 ID:启动或结束捕获操作的管理员的用户 ID。当捕获在 10 次请求后停止时,Vault 将值设置为“系统”。
  • 用户名:启动或结束捕获操作的管理员的用户名。当捕获在 10 次请求后停止时,Vault 将值设置为“系统”。
  • 类型:Vault 将事件类型设置为 OAuthSetting
  • 项目:OAuth/OpenID Connect 配置文件名称。
  • 操作:Vault 设置为编辑
  • 归档名称:Vault 设置为 captureAuthenticationEvents

对象记录审计历史记录

“对象记录审计历史记录”页面显示对象记录的所有更改。对于每个事件,您可以查看时间戳、用户的登录名、受影响的项以及描述。请注意,仅当在该对象上启用了审计数据更改设置时,Vault 才会捕获对象记录的更改。

Vault 不会审计新创建记录的单个字段值。例如,新的产品记录的审计跟踪只包括一个条目,事件描述将为“产品:CholeCap 已创建”。我们建议将当前记录与审计跟踪一起导出,以确保完整导出所有值。当用户删除一个对象记录时,审计跟踪将捕获所有字段值。

在页面顶部,您将会看到默认情况下,审计日志已按照时间戳筛选,时间是最后一天。您可以从第二个下拉菜单中选择其他时间范围。

更改或添加对象记录审计历史记录的筛选器:

  1. 从下拉菜单中选择时间戳事件用户对象
  2. 可选:如果您选择了时间戳,则在右侧的下拉菜单中选择日期范围。如果已选择范围内,则会显示两个额外的日期字段。单击每个字段可选择范围的开始日期和结束日期。
  3. 可选:如果已选择事件,则会显示运算符 In 和第二个下拉菜单。从第二个下拉菜单中选择目标事件。单击应用
  4. 可选:如果已选择用户,则会显示运算符 In 和第二个下拉菜单。从第二个下拉菜单中选择目标用户。可以选择多个用户,但不能选择用户组。
  5. 可选:如果您选择了对象,将会出现运算符位于和第二个下拉菜单。从第二个下拉菜单中选择所需的对象。
  6. 可选:单击蓝色的添加筛选器按钮以添加任何剩余筛选器(时间戳事件用户对象)。您可以使用任何组合定义最多三 (3) 个筛选器。
  7. 单击应用以更新表。

对象记录审计历史记录

域审计历史记录

域审计历史记录页面显示在域级别发生的更改,包括对用户详细信息、安全策略和网络访问规则的更新。对于每个事件,您可以查看时间戳、做出更改的用户、受影响的项以及描述。请注意,从域中的任何 Vault 查看时,域审计历史记录事件都相同。

在 Veeva 员工离职过程中,Veeva 会在所有 Vault 域中停用 Veeva 员工域用户帐户,包括 Veeva 客户 Vault 域(对于任何域类型)。当 Veeva 停用此类域用户帐户时,Vault 会在“域审计”日志中的系统用户下方创建如下事件:“用户:Veeva Systems 将 设为非活动状态。”

示例:“Veeva Systems 将 Joe.doe@veevavault.com 设为非活动状态。”

当停用一名域用户时,Vault 会自动停用所有处于活动状态的相关 Vault 用户成员资格。Vault 会在登录审计历史记录的系统用户下方记录这些 Vault 成员资格停用操作。

域审计历史记录

Vault Java SDK 日志

Vault Java SDK 日志捕获与自定义 Vault Java SDK 集成相关的详细信息。请在开发人员门户中了解有关 Vault Java SDK 的更多信息。

调试日志

调试日志捕获关于 Vault Java SDK 错误的详细信息,这可以是自定义代码中的错误,也可以是超出了时间、内存或大小限制所导致的错误。默认情况下,调试日志是未启用的,必须为每个用户启用。为用户启用后,该用户发起的每个请求都会生成一个日志文件。

默认情况下,Vault 所有者系统管理员安全配置文件具有查看调试日志和为特定用户设置日志会话的权限。在管理 > 日志 > Vault Java SDK 日志下,单击创建。每个 Vault 最多可以有 20 个启用了调试日志的用户。

30 天后调试日志到期:30 天后,Vault 删除调试日志和所有日志文件。距离到期天数列显示距离到期还有多少天。在特定的调试日志上,重置日志按钮删除所有现有的日志文件,并将过期日期重置为 30 天。

调试日志存在以下限制:

  • 可为其启用日志记录的每个 Vault 的最大用户数量:20。
  • 最大日志大小:10MB。达到限制后,即使请求未完成,日志记录仍会立即终止。
  • 日志文件最大数量:20。达到限制后,就会停止日志记录。
  • 日志可用期限为自从为用户创建日志之日起 30 天。在 30 天的期限结束后,调试日志以及所有日志文件都将被删除。

此日志并非始终默认开启。如果您遇到与 Vault Java SDK 有关的问题,Vault 所有者系统管理员应创建调试日志会话以帮助排查问题。从开发人员门户了解更多关于如何使用和自定义调试日志的信息。

运行时日志

运行时日志捕获 Vault Java SDK 事务的其他日志记录。与为每个用户启用的调试日志不同,运行时日志是为每个 Vault 启用的。

运行时日志默认启用,并捕获运行时异常。若要禁用日志记录或捕获其他数据,具有一般信息:编辑权限的 Vault 管理员可以从设置>常规设置页面调整选项。调整日志级别设置以捕获其他数据可能会降低 Vault 的性能。更改这些设置只会影响新的日志条目。

运行时日志的日志级别设置包括以下选项:

  • 禁用:运行时日志关闭。未创建日志。
  • 异常:运行时日志仅捕获运行时异常。这是默认设置,不会影响性能。
  • 错误:运行时异常和错误。通常情况下,错误会阻止事务继续执行。
  • 警告:运行时异常、错误和警告。通常情况下,警告表明存在潜在问题,但不会阻止事务继续执行。
  • 信息:运行时异常、错误、警告和信息。通常情况下,信息性消息并不表明潜在问题,而是提供有关该事务的一般信息,例如当前内存使用情况。

运行时日志在 Vault Java SDK 事务完成后 15 分钟捕获。如果您最近遇到了运行时日志中没有捕获到的错误,请等待事务完成并再次检查。

您组织的 Vault Java SDK 开发人员可以向运行时日志发送自定义的错误、警告和信息性消息。请在开发人员门户中详细了解运行时日志功能。

运行时日志以 5 分钟为间隔捕获数据,限制如下:

  • 异常日志记录:最大 10kb
  • 错误、警告和信息日志:最大 40kb

如果达到限制,运行时日志将捕获包含错误详细信息的限制条目,并停止捕获数据。在当前 5 分钟过后,日志记录将自动恢复。

API 使用情况记录

检索单日的 API 使用日志,期限为过去最多 30 天。该日志包含用户名、用户 ID、剩余突发限制和调用端点之类的信息。拥有管理 > 日志 > API 使用日志权限的用户可以访问这些日志。从操作菜单中,您可以将每日日志下载为 CSVLogfile

请注意,每日日志可能会有大约 15 分钟的延迟。如果您的日志中未包含相应的数据,请知悉数据并未丢失,而是尚未填充。

这些日志旨在排查突发限制问题,并揭示哪种集成导您致达到了限制。这些日志不应当用于审计,因为它们未设计适当级别的限制。例如,如果 API 请求未能输入使用日志,则不会阻止 API 调用执行,如果此日志旨在进行审计则需要这样。在罕见的情况下,API 调用可能不会在日志中显示为条目,但是请知悉所有调用都准确地反映在突发限制计数中。

请在开发人员门户中详细了解 API 使用日志

队列日志

队列日志捕获关于您的 Vault 中正在运行的队列的信息。您必须拥有配置:队列:队列日志权限才能查看此日志。

默认情况下,这些日志仅捕获未送达的消息。为了捕获关于所有消息传送的信息,您必须设置跟踪队列传送

队列日志选项

队列日志

在这里,您可以选择跟踪队列传送的队列。在接下来 20 分钟内,此处选择的队列将数据输入到日志中。

开始捕获所有消息传送数据:

  1. 队列日志页面上,选择编辑
  2. 跟踪队列传送选项列表中,选择您希望从中捕获数据的队列。默认情况下,您可选择最多 25 个队列。
  3. 单击保存

保存之后,Vault 就开始将数据从所选队列发送到日志。20 分钟后,选项列表被清除,Vault 停止向日志发送数据。如果您在这 20 分钟结束之前添加或移除队列,Vault 会对选项列表中的所有队列重新启动此 20 分钟的期限。

每日日志

本节段包含此前 30 天各自的日志。在 30 天结束后,日志开始删除,从最早的日志开始。

日志日期列的操作菜单中,您可以将每日日志下载为 CSV 或 Logfile。

日志内容

如需详细了解队列日志的内容,请访问开发人员门户

电子邮件日志

每个入站电子邮件事件都记录在 Vault 的电子邮件日志中。此前 180 天的日志可从管理 > 日志 > 电子邮件日志下查看。每日日志可能会有大约 15 分钟的延迟。如果您的日志中未包含相应的数据,请知悉数据并未丢失,而是尚未填充。

日志可作为 CSV 文件提供。在日志的列中报告下列信息:

  • 时间戳:事件发生的时间
  • 事件类型
    • EMAIL_PROCESSED:收到时处理成功
    • EMAIL_PROCESSING_FAILURE:收到时处理失败,在详细信息列中列出了从电子邮件处理程序返回的例外
    • EMAIL_BOUNCED:已退回,在详细信息列中列出了原因,并且记录未列在电子邮件记录中(因为不为退回的电子邮件创建电子邮件记录)
    • EMAIL_REPROCESSED:执行重新处理电子邮件用户操作后处理成功
    • EMAIL_REPROCESSING_FAILURE:执行重新处理电子邮件用户操作后处理失败,在详细信息列中列出了从电子邮件处理程序返回的例外
    • EMAIL_DELETED:执行了删除电子邮件用户操作,除电子邮件记录外的所有后续列都将为空白
  • 电子邮件发件人
  • 电子邮件收件人
  • 发送时间
  • 电子邮件主题
  • 电子邮件记录:来自此事件创建或删除的电子邮件记录的名称字段。如果未创建电子邮件记录(例如,对于 EMAIL_BOUNCED 事件),则此字段为空。
  • 详细信息:此字段显示失败后从电子邮件处理程序返回的处理例外,或者下列退回原因之一:
  • VIRUS_DETECTED:因带有病毒而退回
  • SPAM_DETECTED:因属于恶意邮件而退回
  • MAXIMUM_SIZE_EXCEEDED:因超过 30MB 而退回
  • UNKNOWN_RECIPIENT:因未发送到配置的入站电子邮件地址而退回
  • SENDER_NOT_ALLOWED:因来自与入站电子邮件地址已批准发件人不匹配的电子邮件地址而退回
  • FAILED_SPF_CHECKFAILED_DKIM_CHECK:因发件人验证失败而退回
  • SENDER_BLOCKED:因来自拦截名单上的电子邮件地址而退回,Veeva 根据自己的判断在内部维护该名单以防止异常情况下的滥用或恶意行为