终端检测与响应（EDR）的有效性取决于对终端行为数据的持续监测。日志采集策略用于定义飞连客户端采集并上报的行为事件类型（如进程启动、网络连接、文件操作等）。通过配置此策略，管理员可以明确数据采集的范围与深度，为系统的风险识别、安全审计及事件回溯提供必要的数据支撑。

前置条件 #

日志采集策略属于终端检测与响应 (EDR) 模块的专属能力，需确保已购买“终端检测与响应授权”。

功能作用 #

• 定义数据采集范围：根据安全运营需求，指定终端需上报的行为事件类型，确保系统能够获取关键的安全遥测数据。
• 按需调整监控强度：提供日常与取证两种采集模式，支持在常规监测与应急响应场景之间快速切换，以满足不同阶段的分析需求。
• 支撑威胁检测与防病毒能力：采集的底层行为日志将支撑上层安全业务。一方面用于生成动态的威胁行为告警；另一方面，在采集过程中提取的文件 Hash 会同步与云端情报库比对，一旦命中恶意特征，将直接在“终端防病毒”模块的病毒查杀列表中生成静态文件告警。

执行判断机制 #

飞连 EDR 采集策略遵循“单策略生效，优先级判定”的原则。系统根据以下机制确保每台终端仅运行一套确定的采集规则：

1. 唯一生效模型
   策略之间不存在叠加或合并关系。系统根据优先级判定结果，仅下发一条最终生效策略至目标终端，终端的所有采集行为（开关、项、性能限制）均以该策略的内容为准。
2. 优先级判定
   • 数值优先级：管理员为每条策略分配优先级数值，数值越大，优先级越高。当终端命中多条策略时，系统优先执行数值优先级最高的策略。
   • 时间优先逻辑：若多条命中策略的优先级数值相同，系统将执行最近一次修改/添加的策略（按策略更新时间倒序优先生效）。

新增终端采集策略 #

1. 登录飞连管理后台。

2. 在左侧导航栏选择终端安全 > 日志采集 > 策略配置。

3. 点击页面右上角的 + 创建策略。
   

4. 根据业务需求配置参数。

   • 基本信息

     配置项	说明
     策略名称	自定义名称，用于标识该策略。支持 1-100 个字符。
     生效优先级	设置策略执行的先后顺序。数值越大，优先级越高。详见执行判断机制说明。

   • EDR 终端行为采集
     管理员可针对不同的操作系统独立定义采集项。Windows 与 macOS 采集项至少需开启其一。开启后可自定义采集的事件范围。系统默认勾选全部事件，可按需取消勾选事件。其中，进程创建为系统级监控基础，不可取消，通过记录进程启动路径及命令行参数，系统可还原攻击链条并识别恶意脚本执行。
     各端支持的事件详情说明如下：

     • Windows
       Windows 采集能力支持系统版本为 Windows 7 及以上。

       事件类型	具体事件	安全监控含义
       进程行为	进程创建（必选）、进程退出、进程访问、模块加载、进程注入、远程线程创建	监控程序的完整生命周期及跨进程操作。进程注入与远程线程是识别“无文件攻击”及内存木马的关键指标。
       文件行为	文件创建、文件写、文件读取、文件重命名、文件创建时间修改、文件删除、快捷方式创建	监控对硬盘数据的读写操作。可用于发现勒索病毒的大规模加密行为及敏感文件的异常导出。
       网络行为	网络访问、DNS查询	监控终端的内外网通信。用于识别木马回连控制端（C2）、内网横向渗透扫描及异常数据外传行为。
       服务行为	服务创建、服务修改	监控系统服务的变更。攻击者常通过创建恶意服务实现权限维持（开机自启）。
       计划任务行为	计划任务注册/启动/更新/删除/触发	监控 Windows 任务计划程序。是检测隐藏资产、自动化恶意脚本执行及持久化潜伏的重要维度。
       注册表行为	注册表项创建/删除、注册表值修改/删除/查询	监控系统配置数据库的变动。用于拦截通过修改注册表启动项、劫持系统组件等方式进行的攻击。
       系统行为	驱动加载	记录内核驱动的安装。防止攻击者通过加载恶意驱动获取系统最高权限。
       脚本事件	脚本执行	针对 PowerShell、VBScript 等脚本运行行为进行专项审计。
       命名管道	命名管道创建、命名管道连接	监控进程间的通信通道，常用于检测后渗透阶段工具（如 Cobalt Strike）的指令传递。
       持久化事件	注册表/可执行文件/计划任务/服务启动项采集	周期性扫描终端的所有自启动位置，确保持续监控已存在的潜在威胁点。

     • macOS

       事件类型	具体事件	安全监控含义	支持操作系统
       进程行为	进程创建（必选）、进程退出	监控 macOS 应用程序及终端命令的启动与生命周期。	macOS 11+
       文件行为	文件创建、文件读取、文件修改、文件删除、文件重命名、文件扩展属性删除、文件扩展属性设置、文件权限变更	监控文件 IO 操作。其中权限变更与扩展属性修改常用于发现提权攻击或恶意软件属性隐藏。	macOS 11+
       网络行为	网络访问、DNS查询	监控终端的内外网通信。用于识别木马回连控制端（C2）、内网横向渗透扫描及异常数据外传行为。	macOS 11+
       账户事件	账户登录、账户远程登录、账户创建、账户密码修改	监控系统身份变动。远程登录（如 SSH）及账户异常创建是识别终端被控的重要信号。	账户登录/账户远程登录：macOS 13+ 账户创建/账户密码修改：macOS 14+
       持久化	后台任务添加	监控 macOS 现代服务管理框架下的后台任务注册。防止攻击者通过植入隐蔽的后台任务实现开机自启与长期潜伏。	macOS 13+
       安全事件	XProtect 恶意软件检出、XProtect 恶意软件修复、用户覆盖 Gatekeeper	整合 macOS 原生安全框架数据。记录系统拦截的恶意软件及用户手动绕过安全保护的行为。	XProtect 恶意软件检出/修复：macOS 13+ 用户覆盖 Gatekeeper：macOS 15+
       定时采集	登录启动项、开机启动项、后台任务项	周期性盘点系统启动环境。	登录/开机启动项：< macOS 13 后台任务项：macOS 13+

   • 终端采集模式
     系统提供两种采集模式，用于平衡安全监控的“可见性”与终端硬件的“性能负载”。

     模式名称	选择建议	逻辑说明
     日常模式（推荐）	适用于绝大部分办公场景。	性能优先：在保障终端正常办公性能的前提下，完成必要安全行为的日志上报。该模式下客户端资源占用较低，员工通常无感。
     取证模式	仅建议在应急响应或排查异常终端时短期使用。	数据优先：全量采集并上报终端产生的所有行为日志，不进行性能压制。该模式会占用较多终端系统资源，可能导致电脑运行卡顿。

     管理员选型建议：

     • 常规部署：请务必选择“日常模式”，以避免因采集频率过高而影响员工正常办公。
     • 发现异常：如果在某台机器上，出现部分明确APT告警，希望尽可能采集更多日志的情况下，可切换到取证模式，采集 1-2 小时数据用于深度回溯。

   • 生效范围

     配置项	说明
     生效对象	定义该策略应用的范围。支持选择全部或从员工/设备维度进行部分选择。
     排除对象	在已选的生效对象中，进一步排除特定员工或设备，使其不受该策略影响。

5. 点击确定完成配置。管理员保存策略配置后，飞连客户端将每 1 分钟向服务端拉取一次最新配置。配置下发至终端并生效通常存在 1 分钟内的同步延迟。

策略管理与运维 #

在策略配置列表页，管理员可以统一管理全量规则，并根据业务变化实时调整监控范围。

• 运行状态监控：通过页面顶部的仪表盘查看生效设备数及配置同步进度。其中，服务端配置版本为当前 EDR 策略库的全局版本标识，管理员编辑、新增或删除任一策略后，服务端配置版本将自动更新。该版本号是判定策略同步状态的唯一基准。若终端成功拉取到当前最新的服务端版本，则代表该终端命中的所有策略配置均已同步至最新状态。
• 策略检索：支持按生效状态、员工/部门、设备名称及策略 ID 进行组合筛选。
• 日常运维：在策略列表中，管理员可以直观预览各策略的核心参数并执行以下操作：
  • 参数预览：快速查看策略的优先级数值、开启的检测项大类（如账户事件、进程事件等）以及具体的生效对象等。
  • 状态切换：通过生效状态栏的开关一键开启或关闭特定策略。关闭策略后，受影响的终端将自动重新匹配下一条最高优先级的策略。
  • 其他操作：
    • 复制：以现有策略为模板快速创建新规则。
    • 编辑：修改策略的参数、处置方式或生效范围。
    • 删除：永久移除不再需要的策略。删除操作不可撤回，请在确认业务影响后执行。

日志审计 #

完成策略配置后，飞连客户端将根据策略定义的范围采集终端行为。管理员可以通过日志调查功能对全网原始日志进行检索、回溯与分析。

日志检索与分析 #

前往终端安全 > 日志采集 > 日志调查页面，管理员可以通过筛选功能对海量日志进行定位。

1. 筛选模式

系统支持两种筛选模式，模式之间互斥生效（切换模式后，当前生效的筛选条件将以新模式为准）：

• 基础筛选：提供终端名称、日志类型、进程/文件名、路径等高频字段的模糊搜索。点击自定义筛选支持查看全部筛选项并按需勾选添加。
• 高级检索：采用类 SQL 语法的指令式查询，支持更复杂的逻辑组合。在检索框内输入字符时，系统将自动弹出代码补全下拉列表，通过键盘上下键（↑/↓）预览待选字段时，可查看该字段的数据类型及详细业务含义，辅助管理员准确构建查询语句。

2. 查询效率工具

在高级检索框左侧，提供了快速管理查询条件的工具：

• 收藏与管理：点击检索框内的“星形”图标可将当前输入的复杂语句保存至收藏夹；点击检索框左侧的“星形”图标可查看已收藏的查询语句。
• 查询历史：点击“时钟”图标可快速回溯并复用近期的检索条件，无需重复编写语法。

3. 日志列表交互

日志列表默认按“时间 → 主体 → 行为 → 描述”顺序排列，支持高度自定义的交互操作：

• 快捷联动菜单：点击列表中某条日志记录的字段值，系统将弹出快捷操作菜单：
  • 复制：一键将该字段的具体值拷贝至剪贴板。
  • 检索：使用该字段值替换当前筛选条件中对应字段的取值，并重新发起查询。
  • 添加到检索条件：将该字段值作为“且”条件加入到当前的筛选逻辑中，实现递进式过滤。
  • 从检索结果中排除：将该字段值作为“排除”条件加入筛选逻辑，用于快速剔除运营噪声或已知安全项。
• 自定义字段展示：点击列表右上角的自定义列，可自主选择显示的字段及其排列顺序。
• 查看详情：点击操作列查看详情进入原始日志页面，系统将根据日志类型动态展示相关分组（如进程类字段、文件类字段等）及该行为的全部维度信息。
• 日志导出：点击页面右上角的导出日志，系统将根据当前筛选结果及自定义列配置生成 CSV 文件。

日志联动说明 #

日志调查页面展示的是终端最底层的原始行为轨迹。为了将海量数据转化为可落地的安全运营事件，飞连会自动对采集到的底层数据进行分析，并将其分发至对应的上层安全模块中。在日常安全运营时，管理员可以结合以下模块对系统检测出的安全风险进行闭环处置：

• 基于行为的动态告警拦截：当底层日志命中特定攻击模型（如挖矿、勒索等行为链路）时，系统会自动将其聚合。管理员可以前往终端安全 > 威胁行为页面，对聚合后的攻击链路进行快速研判，并直接下发“结束进程”、“禁用服务”等指令以阻断风险。详情参看威胁行为分析与管理。
• 基于文件的静态告警处置：在采集终端文件操作日志时，系统会同步提取文件的 Hash 值并与云端威胁情报库比对。一旦命中恶意特征，系统会将该文件同步至终端安全 > 终端防病毒 > 告警事件（即“病毒查杀”列表，数据源标记为“威胁情报”），方便管理员在统一的界面下执行隔离或删除等物理文件处置操作。详情参看恶意文件监控与处置。