审核用户操作以检测风险、遵守数据安全要求并改进支持服务。 记录所有用户活动、记录远程会话并设置用户策略,以实现完整的可审计性和可见性,了解谁在做什么、何时做了什么以及做了多长时间。
借助 TeamViewer Tensor,您可以确保您的企业始终遵守安全协议和内部要求,同时在安全风险影响您的业务之前对其进行检测。 内置报告日志捕获所有远程会话活动和管理控制台操作:每个传入和传出连接的操作人员、时间和时长。
出于安全目的,这些审计日志至关重要,只能由具有适当用户权限的指定 IT 管理员查看。
- 选择加入/退出,决定是否需要远程会话和管理控制台的活动日志。
- 分配特定的用户权限以授权访问查看报告。
- 保持问责制并为服务提供精确的计费。
- 通过会话评论和客户反馈表跟踪客户满意度,以改进服务。
- 通过消除对第三方日志记录工具的需求来降低成本。
- 自动视频记录所有会话活动; 记录每个远程桌面连接,不允许最终用户暂停或停止记录。
- 将所有会话记录保存到指定的网络或本地驱动器位置。
本文适用于具有Enterprise / Tensor许可计划的所有TeamViewer客户。
本文适用于TeamViewer版本14.1或以上的Windows,Mac和 Linux 操作系统。
如何激活事件日志
默认情况下,您的公司未激活事件记录,因为您应该在公司内获得有关数据收集和使用的一般同意。
激活事件记录只能以公司管理员身份完成。
要激活事件记录,请按照以下说明操作:
- 在 https://web.teamviewer.com/ 登录您的 TeamViewer 帐户
- 导航到管理设置 ➜ 常规。
- 启用 事件记录
现在将记录属于您公司的所有用户的活跃活动。
如何授予事件日志访问权限
您的公司管理员可以通过 创建角色 并勾选“事件日志”权限来授予您访问“事件日志”对话框页面的权限。
提示:有关创建和管理用户角色的更多详细信息,请查看我们的文章:角色
如何查看和筛选事件日志
当您可以访问公司的事件日志时,请导航至面板左侧的 管理设置 中的“事件日志”。
您现在可以使用给定的过滤器可能性开始搜索特定事件:
- 日期范围:如果您需要搜索特定日期范围内的事件,请使用此过滤器。
- 请注意: 最大日期范围是一个月。 如果要在多个月内搜索事件,则需要执行多次搜索。
- 用户:如果您需要搜索特定人员执行的事件,请使用此过滤器。
- 更改:如果您需要搜索任何用户执行的某项更改,请使用此过滤器。
- 事件类型:如果您需要搜索在特定类别下分组的多个事件,请使用此过滤器。 例如,它可以帮助您搜索用户管理中任何用户所做的所有更改。
现在,您可以单击单个事件以查看每个事件的更多详细信息。
如何查看传入连接的事件日志
使用传入连接日志记录,您可以审核在连接到最终用户设备期间发生的事情。
要求
- 您的设备必须放置在分配给您的公司。
- TeamViewer Host 需要安装在最终用户的设备上。 此功能与完整客户端不兼容。
通过查找以 TeamViewer ID 作为作者的条目,可以在事件日志中找到通过 Auditability 记录的传入连接。
呼入连接
- 显示 TeamViewer ID 的任何条目仅属于传入连接。
- 这是因为它是为事件日志提供信息的设备,即设备是此信息的作者。
被访问的设备
- 演示者 ID 显示具有传入连接的 TeamViewer ID。
- 在这种情况下,主持人姓名为空; 在 TeamViewer Host 中无法分配给帐户。
发起连接的设备
- 参与者的 ID 显示哪个设备连接到主机。
- 如果在该设备上使用了帐户,则该帐户的显示名称会显示在参与者的姓名中。
活动权限
- 权限显示连接到主机的人在连接期间拥有哪些权限。
注意:文件传输也会记录在传入连接。
如何下载事件日志
当您可以访问公司的事件日志时,请通过 https://web.teamviewer.com/ 或通过客户端导航到左侧导航面板上的事件日志。
要下载事件,请应用过滤器,然后单击“下载事件”。 您将收到一个包含过滤后的事件的 CSV 文件。
我们建议将 CSV 文件导入 Excel,以便更好地概览所有下载的事件。
CSV列
CSV文件包含多个列,提供有关已记录事件的详细信息。存在以下列:
- 日期:记录事件的日期。此列中记录的日期反映了服务器日期。
- 时间:记录事件的时间。
- 日期时间(ISO8601):记录事件的ISO8601格式的日期,时间和时区。
- 作者:这是执行该事件的人。作者用户名显示,或者TeamViewer ID不存在。
- 更改:这是作者执行的事件(以简短且可读的格式)。
- 事件类型:这是每个事件所属的类别。它将有助于对某些事件类型进行分组,例如当您只对整个公司的用户属性所做的更改感兴趣时
- 受影响的项目:进行更改的对象
- 属性:受影响项目上已更改的详细属性,例如用户对象的用户名
- 旧值:此列仅在更改或删除对象时填充,而不是在创建对象时填充。如果更改了对象,则会列出旧的更改值,以便您查看值的更改方式。如果删除对象,则旧值显示删除前对象的值。
- 新值:此列显示已更改属性的(新)值。
- 电子邮件:执行事件的人员的电子邮件。
在远程控制会话期间收集了谁的数据?
远程控制会话期间的事件数据仅从已验证为已启用事件日志记录的公司成员的用户收集。
两个用户的远程控制会话示例:
|
用户 1 (远程控制会话发起者)
|
用户 2
|
收集谁的事件数据?
|
|---|---|---|
|
公司成员(已认证) |
公司成员(已认证) |
用户 1 和 用户 2 |
|
公司成员(已认证) |
公司成员(未认证) |
用户 1 |
|
公司成员(已认证) |
外部用户 (已认证) |
用户 1 |
|
公司成员(已认证) |
外部用户 (未认证) |
用户 1 |
|
公司成员(已认证) |
QuickSupport 用户 |
用户 1 |
|
外部用户(已认证) |
公司成员(未认证) |
无信息收集
|
数据保留
所有事件数据都记录在 TeamViewer 服务器(位于法兰克福)上一年。 此保留期限无法更改。 一年后,所有数据将被自动彻底删除。
事件日志 REST API
也可以通过REST API检索事件日志。 您可以在我们的官方API文档中找到有关如何使用API的更多信息。
事件清单
这是TeamViewer捕获和存储的事件列表:
|
用户动作
|
事件简称
|
事件起始
|
事件类型
|
|---|---|---|---|
|
使用身份验证来启动远程会话 |
- |
远程会话 |
连接会话 |
|
发起远程会话 |
已启动会话(发起方事件名称) 呼入会话(接收方事件名称) |
远程会话 |
连接会话 |
|
已关闭远程会话 |
结束会话 |
远程会话 |
连接会话 |
|
用户加入/离开正在运行的远程会话 |
加入会话 离开会话 |
远程会话 |
连接会话 |
|
其他用户加入/离开远程会话 |
参与者加入会话 参与者离开会话 |
远程会话 |
连接会话 |
|
在远程会话期间触发连接切换 |
连接互换 |
远程会话 |
连接会话 |
|
在远程会话期间激活/停用远程输入 |
已更改已禁用的远程输入(发起方事件名称) 已接收已禁用的本地输入(接收方事件名称) |
远程会话 |
连接会话 |
|
在远程会话期间激活/停用黑屏 |
已更改“显示黑屏”(发起方事件名称) 已接收“显示黑屏”(接收方事件名称) |
远程会话 |
连接会话 |
|
开始屏幕录制 |
开始录制(发起者的事件名称) |
远程会话 |
连接会话 |
|
停止屏幕录制 |
结束录制(发起者的事件名称) |
远程会话 |
连接会话 |
|
暂停屏幕录制 |
暂停录制(发起者的事件名称) |
远程会话 |
连接会话 |
|
继续屏幕录制 |
恢复录制(发起者的事件名称) |
远程会话 |
连接会话 |
|
开始文件传输 |
已发送文件(发起方事件名称) 已接收文件(接收方事件名称) |
远程会话 |
连接会话 |
|
编辑自己的用户属性 |
编辑自己的用户资料 |
管理控制台 |
用户档案 |
|
激活/停用自己账户的 2FA |
禁用/启用 2FA |
管理控制台 |
用户档案 |
|
在管理控制台中创建用户 |
创建用户 |
管理控制台 |
用户档案 |
|
编辑用户属性 |
编辑用户属性 |
管理控制台 |
用户档案 |
|
编辑用户权限 |
编辑用户权限 |
管理控制台 |
用户档案 |
|
删除用户 |
删除用户 |
管理控制台 |
用户档案 |
|
加入公司 |
加入公司 |
管理控制台 |
公司管理 |
|
创建新的自定义主机模块 |
创建自定义主机模块 |
管理控制台 |
自定义模块 |
|
编辑自定义主机模块 |
编辑自定义主机模块 |
管理控制台 |
自定义模块 |
|
删除自定义主机模块 |
删除自定义主机模块 |
管理控制台 |
自定义模块 |
|
创建新组 |
添加组 |
管理控制台 |
组管理 |
|
分享群组 |
分享群组 |
管理控制台 |
组管理 |
|
编辑组 |
编辑组 |
管理控制台 |
组管理 |
|
删除组 |
删除组 |
管理控制台 |
组管理 |
|
创建新的脚本令牌 |
创建脚本令牌 |
管理控制台 |
公司管理 |
|
编辑脚本令牌属性 |
编辑脚本令牌 |
管理控制台 |
公司管理 |
|
编辑现有的脚本令牌权限 |
编辑脚本令牌权限 |
管理控制台 |
公司管理 |
|
删除脚本令牌 |
删除脚本令牌 |
管理控制台 |
公司管理 |
|
添加策略 |
策略已添加 |
管理控制台 |
策略 |
|
编辑策略 |
策略已更新 |
管理控制台 |
策略 |
|
删除策略 |
策略已删除 |
管理控制台 |
策略 |
|
添加用户到用户组 |
用户组已添加 |
管理控制台 |
用户组 |
|
删除用户组 |
用户组删除 |
管理控制台 |
用户组 |
|
重命名用户组中的用户 |
用户组已更新 |
管理控制台 |
用户组 |
|
添加账户到用户组 |
成员添加到用户组 |
管理控制台 |
用户组 |
|
从用户组移除帐户 |
成员已从用户组移除 |
管理控制台 |
用户组 |
|
用户切换了“阻止会议”开关 |
阻止会议状态已更改 |
管理控制台 |
条件访问 |
|
用户通过 Web API 创建了新的目录组 |
目录组已添加 |
管理控制台 |
条件访问 |
|
用户通过 Web API 删除了目录组 |
目录组已删除 |
管理控制台 |
条件访问 |
|
用户通过 Web API 将成员添加到目录组 |
成员已添加到目录组 |
管理控制台 |
条件访问 |
|
用户通过 Web API 从目录组中删除成员 |
从目录组中删除的成员 |
管理控制台 |
条件访问 |
|
用户创建了新的条件访问规则 |
规则已添加 |
管理控制台 |
条件访问 |
|
用户删除了条件访问规则 |
规则已删除 |
管理控制台 |
条件访问 |
|
用户编辑了现有规则的到期设置 |
规则已修改 |
管理控制台 |
条件访问 |
|
用户切换了“激活条件访问”开关 |
规则验证已更改 |
管理控制台 |
条件访问 |
|
附加条件访问的会话已通过审批流程 |
会话批准 |
所有平台 |
条件访问 |
|
已将策略分配/更新/取消分配给设备 |
设备策略已更新 |
MCO/TVRemote |
设备管理 |
|
为设备添加管理员 |
设备管理员已添加 |
MCO/TVRemote |
设备管理 |
|
更新设备的管理员权限 |
设备管理员已更新 |
MCO/TVRemote |
设备管理 |
|
从设备中移除管理员 |
设备管理员已移除 |
MCO/TVRemote |
设备管理 |
|
添加设备到设备组 |
设备已添加到组 |
MCO/TVRemote |
设备管理 |
|
从组中删除设备 |
设备已从组中删除 |
MCO/TVRemote |
设备管理 |
|
创建设备组 |
设备组已创建 |
MCO/TVRemote |
设备组管理 |
|
删除设备组 |
设备组已删除 |
MCO/TVRemote |
设备组管理 |
|
更改设备组的名字 |
设备组名字已更改 |
MCO/TVRemote |
设备组管理 |
|
添加管理员到设备组 |
设备组管理员已添加 |
MCO/TVRemote |
设备组管理 |
|
更新管理员对设备组的权限 |
设备组管理员已更新 |
MCO/TVRemote |
设备组管理 |
|
从设备组中删除管理员 |
设备组管理员已移除 |
MCO/TVRemote |
设备组管理 |
|
策略已分配/更新/取消分配给组 |
设备组策略已更新 |
MCO/TVRemote |
设备组管理 |
|
已将别名更新至设备 |
设备别名已更新 |
MCO/TVRemote |
设备管理 |
|
已更新设备描述 |
设备描述已更新 |
MCO/TVRemote |
设备管理 |
|
管理此设备 |
设备已托管 |
MCO/TVRemote |
设备管理 |
|
取消管理设备 |
设备托管已取消 |
MCO/TVRemote |
设备管理 |
|
邀请代码已创建来邀请其他公司加入母公司组织的多租户架构 |
邀请已创建 |
TV Remote |
多租户架构 |
|
邀请代码已被主公司撤销,其他公司将无法再使用该代码。 |
邀请已创建 |
TV Remote |
多租户架构 |
|
其他公司使用了该邀请代码,并请求加入创建者的组织。 |
关系请求已创建 |
TV Remote |
多租户架构 |
|
母公司已审核所提交的请求(批准或拒绝)。 |
关系请求已创建 |
TV Remote |
多租户架构 |
|
提出加入组织请求的子公司已撤回其待处理的请求,该请求因此被取消。 |
关系请求已创建 |
TV Remote |
多租户架构 |
|
双方中的任意一方终止了该关系。 |
关系已删除 |
TV Remote |
多租户架构 |
|
母公司的用户被邀请以租户管理员身份访问某个子公司。 |
多租户管理员请求已创建 |
TV Remote |
多租户架构 |
|
子公司会审核(接受或拒绝)该访问其环境的请求。 |
多租户管理员请求已创建 |
TV Remote |
多租户架构 |
|
母公司或子公司均可将租户管理员从该子公司中移除。 |
多租户管理员请求已创建 |
TV Remote |
多租户架构 |