病毒日志审计

配置完终端防病毒策略后，飞连会实时监控策略生效范围内员工终端设备的安全状态。如果发现病毒或其他恶意软件，飞连会将所有病毒事件上传至管理后台的病毒日志审计列表中。本文将介绍如何查看病毒日志审计、病毒实况、病毒库更新以及如何处置病毒文件。

已配置终端防病毒策略，且已在策略生效范围的员工终端设备内检测出病毒事件。

在病毒日志审计列表中，您可以查看所有飞连在终端设备检测到的病毒事件，包括仅提醒、已隔离、已信任、已消毒、已删除、已恢复和取消信任等状态的事件。您还可以使用搜索功能查找指定的病毒事件，并通过自定义列功能，自定义病毒日志展示的列和展示的顺序。最后，您可以使用导出列表功能导出当前列表以供分析。

1. 登录飞连管理后台。

2. 在左侧导航栏，选择终端防病毒 > 病毒日志审计。

3. 在病毒日志审计页面，您可以查看所有飞连在终端设备检测到的病毒事件，事件的信息说明见下表。
   您还可以单击列表右上角的自定义列，自定义病毒日志展示的列和展示的顺序。

   信息项	说明
   巡检方式	病毒事件被发现的方式，包含主动检测、实时保护以及定时巡检三种方式。
   病毒源文件/操作项	存储病毒源文件的路径，单击地址可查看病毒源文件的详细信息，并复制文件路径和文件 MD5 值。
   告警时间	终端设备发出病毒事件告警的时间，精确到秒。
   设备信息	终端设备的名称和 DID，单击地址可以查看设备的详细信息。
   用户信息	终端设备用户的姓名和部门，将鼠标悬浮在姓名上可以查看用户的详细信息。
   操作系统	终端设备运行的操作系统和版本号，操作系统包括 Windows、Mac 以及 Linux。
   命中策略	当前病毒事件是否命中终端防病毒策略，如果命中策略，则会展示策略名称。单击策略名称，页面会跳转至策略编辑页面。
   上报时病毒状态	终端设备上报病毒事件时的病毒状态，包括 仅提醒：根据命中策略，飞连发现该病毒文件后，仅提醒用户，不做其他处置。 已隔离：根据命中策略，飞连发现该病毒文件后，自动隔离文件，或者用户主动隔离该文件。 已信任：飞连发现该病毒文件后，用户主动信任该文件，或者用户主动信任隔离区中的病毒文件。 已消毒：根据命中策略，飞连发现该病毒文件后，自动隔离病毒文件，用户仅可删除文件。 已删除：用户主动删除隔离区中的病毒文件。 已恢复：用户主动信任隔离区中的病毒文件。 取消信任：用户对信任区的病毒文件取消信任。
   客户端版本	终端设备的版本号。
   设备 IP	终端设备的 IP 地址。
   操作者	事件上报时病毒处理的操作者，包括管理员、用户以及系统。

4. （可选）您可以单击页面左上角的自定义筛选修改筛选条件，查找指定的病毒事件。筛选条件说明见下表。
   

   筛选条件	说明
   操作系统	终端设备所运行的操作系统，可单选全部、Windows、Mac 以及 Linux。
   告警时间	设定终端设备发出病毒事件告警的时间，精确到秒。
   文件 MD5 值	输入一个病毒文件的 MD5 值。
   事件上报时病毒状态	事件上报时候病毒的处理状态，可单选仅提醒、已隔离、已信任、已消毒、已删除、已恢复以及取消信任等状态。
   员工	输入一个终端设备用户的姓名。
   设备信息	输入一个终端设备的名称或设备 ID。
   操作者	事件上报时病毒处理的操作者，可单选管理员、用户以及系统。
   病毒名称	输入一个病毒的名称。
   病毒文件路径	输入一个病毒文件的存储路径。
   文件数字签名	输入一个病毒文件的数字签名。
   命中策略	输入一个病毒文件命中的终端防病毒策略。
   巡检方式	选择一种终端设备的巡检方式，包括主动检测、实时保护以及定时巡检三种方式。
   病毒类型	选择一种病毒的类型。
   危险等级	选择一种病毒的危险等级，包含低危、中危以及高危。
   客户端版本	选择一个终端设备的版本号。

5. （可选）在列表右上角，单击导出列表，可以导出包含当前列表数据的 .csv 文件。
   

您可以在管理后台查看员工电脑的风险实况，例如哪些病毒文件尚未处理、哪些已被隔离、哪些已被信任，以及当前设备存在多少病毒风险，从而帮助您更快地定位问题。对于员工客户端已扫描出的病毒文件，您可以在后台进行远程采集，采集后可对病毒文件进行进一步分析。

1. 登录飞连管理后台。
2. 在左侧导航栏，选择终端防病毒 > 病毒日志审计。
3. 您可以通过以下两个途径查看单台设备的安全状态：
   • 通过病毒日志审计列表：
     1. 在病毒日志审计列表，单击设备名称，设备信息卡片将会出现。
        
     2. 在设备信息卡片中，单击风险实况字段后的查看详情。
        页面会自动跳转到单台设备的病毒风险页签。
        
   • 通过查看设备病毒状态按钮：
     1. 在病毒文件列表右上角，单击查看设备病毒状态，会自动跳转至安全状态页面。
        
     2. 在安全状态页面，单击指定终端设备的名称。
        页面会自动跳转到单台设备的安全状态页面。
     3. 在安全状态页面下，选择病毒风险页签。
4. 在列表的右上角，单击任务中心。
   • 在病毒源文件采集页签下，你可以单击下载文件，下载采集的病毒源文件压缩包。

     说明

     为避免因操作不当导致设备中毒，源文件采集后请谨慎使用。飞连对病毒源文件进行了加密压缩，采集成功后的解压密码为：infected

   • 在病毒文件处置页签下，你可以查看已经处置的病毒文件，并单击查看配置修改相关的策略配置。
     

在了解设备的安全状态后，您可以直接在安全状态页面处置病毒文件，包括隔离、单设备信任、全局加白以及取消信任。

1. 登录飞连管理后台。
2. 在左侧导航栏，选择终端防病毒 > 病毒日志审计。
3. 您可以通过以下两个途径查看单台设备的安全状态：
   • 通过病毒日志审计列表：
     1. 在病毒日志审计列表，单击设备名称，设备信息卡片将会出现。
        
     2. 在设备信息卡片中，单击风险实况字段后的查看详情。
        页面会自动跳转到单台设备的病毒风险页签。
        
   • 通过查看设备病毒状态按钮：
     1. 在病毒文件列表右上角，单击查看设备病毒状态，会自动跳转至安全状态页面。
        
     2. 在安全状态页面，单击指定终端设备的名称。
        页面会自动跳转到单台设备的安全状态页面。
     3. 在安全状态页面下，选择病毒风险页签。
4. 对于不同状态的病毒文件，您可以进行以下操作：

   说明

   当您需要隔离、信任或者取消信任某个病毒文件时，必须保证病毒文件所在终端设备处于在线状态。

   • 在仅提醒区，您可以对病毒文件进行隔离、单设备信任或全局加白。
   • 在已隔离区，您可以对病毒文件进行隔离、单设备信任或全局加白。

     说明

     如果您已经隔离此病毒文件，则不可再对病毒文件进行隔离。

   • 在已信任区，您可以对病毒文件进行隔离、取消信任以及全局加白。

     说明

     如果您或用户已经主动信任此病毒文件，则不可再对病毒文件进行隔离。

1. 登录飞连管理后台。
2. 在左侧导航栏，选择终端防病毒 > 病毒日志审计。
3. 在右上角，将鼠标悬停在问号图标上，即可查看病毒库信息。
4. 在病毒库信息卡片上，单击更新日志字段后的查看详情，即可查看服务端病毒库更新日志。
   

您可以查看当前病毒策略的人员和设备覆盖率、病毒查杀任务的执行情况，快速发现当前企业中的风险设备和员工，帮助您更快速地定位风险、解决风险。详细信息，请参考查看管理后台首页。