گزارشهای ممیزی و رهگیری فعالیت
گزارش ممیزی فضای کاری رویدادهای حساس امنیتی، عضویت و اشتراک را فقطافزودنی ثبت میکند تا برای انطباق و بررسی در دسترس باشد.
هر فضای کاری پر از کنشهای حساس است؛ کسی عضوی را دعوت میکند، نقشی را تغییر میدهد، یک تنظیم امنیتی را جابهجا میکند یا پلن اشتراک را عوض میکند. گزارش ممیزی دفتری همیشگی از این رویدادهاست که برای هر کنش مهم ثبت میکند چه کسی، چه کاری، چه زمانی و از چه نشانیای انجام داده است. این رکوردها فقطافزودنی هستند؛ یعنی پس از ثبت نه ویرایش میشوند و نه پاک، تا همیشه یک منبع قابلاعتماد برای پیگیری باقی بماند.
این صفحه برای ادمینها و مسئولان امنیت و انطباق سازمان نوشته شده است. میبینید گزارش ممیزی چه چیزهایی را ثبت میکند، چطور آن را ببینید و فیلتر کنید، چگونه خروجی بگیرید و سیاست نگهداری آن چگونه است. همهٔ این کارها از مسیر تنظیمات فضای کاری ← امنیت ← گزارش رویدادها انجام میشود.
گزارش ممیزی چیست و هر رکورد چه چیزی دارد؟
گزارش ممیزی فهرستی زمانبندیشده از رویدادهای مهم فضای کاری است. هر بار که کنشی حساس رخ دهد یک رکورد تازه ساخته میشود و رکوردهای پیشین دستنخورده میمانند. هر ردیف چند بخش دارد:
- عامل: کاربری که کنش را انجام داده، همراه با نام و نشانی تماس.
- کنش: نوع رویداد، مثل «دعوت عضو» یا «تغییر الزام تأیید دومرحلهای».
- هدف: موضوعی که کنش روی آن انجام شده است.
- جزئیات: دادههای همراه رویداد؛ مقادیر حساس مانند رمز عبور، کلید، توکن و کد بازیابی بهصورت خودکار پنهان (redacted) میشوند.
- نشانی IP و دستگاه: نشانی شبکه و مرورگر یا دستگاهی که کنش از آن انجام شده است.
- زمان: تاریخ و ساعت دقیق ثبت رویداد.
چه رویدادهایی ثبت میشوند؟
گزارش روی کنشهایی متمرکز است که از نظر امنیت، عضویت و انطباق اهمیت دارند. این رویدادها در چند دسته سامان یافتهاند تا پیدا کردنشان ساده باشد:
- اعضا: دعوت، حذف، خروج و تغییر نقش اعضا، تخصیص نقش سفارشی و تغییر ویژگیهای عضو.
- مجوزها: ساخت، ویرایش و حذف نقشهای سفارشی.
- فضای کاری: تغییر تنظیمات فضای کاری و مدیریت برچسبها.
- امنیت: تغییر الزام ورود دومرحلهای، اتصالات SSO، دامنههای ایمیل، تنظیمات LDAP، ورود اعضا از طریق SSO و خروجیگیری از همین گزارش.
- اشتراک: تغییر پلن اشتراک فضای کاری.
- SCIM: ساخت و لغو اتصال، و تأمین، بهروزرسانی و غیرفعالسازی کاربران و گروهها.
دسترسی و محدودیت پلن
نکتهٔ مهم این است که ثبت رویدادها همیشه و در همهٔ پلنها انجام میشود؛ آنچه به پلن وابسته است تنها مشاهدهٔ گزارش است. مشاهده و خروجیگیری از گزارش ممیزی در پلن Business Plus در دسترس است و افزون بر آن، کاربر باید دسترسی «مدیریت امنیت» فضای کاری را داشته باشد. اگر پلن شما این قابلیت را پوشش ندهد، در همان بخش امنیت پیام قفلبودن بههمراه دکمهٔ ارتقا نمایش داده میشود.
خبر خوب: چون ثبت رویدادها مستقل از پلن انجام میشود، اگر بعداً به Business Plus ارتقا دهید، تاریخچهٔ رویدادهای پیشین تا محدودهٔ نگهداری همچنان در دسترس خواهد بود.
مشاهده، فیلتر و خروجی گرفتن
برای کار با گزارش، گامهای زیر را دنبال کنید:
- به تنظیمات فضای کاری ← امنیت بروید و بخش «گزارش رویدادها» را پیدا کنید.
- روی مشاهده گزارش رویدادها بزنید تا فهرست رویدادها باز شود.
- با فیلترها فهرست را محدود کنید: بر اساس نوع رویداد، عضو انجامدهنده، بازهٔ تاریخ یا جستوجوی متنی.
- برای بایگانی یا تحویل به تیم انطباق، خروجی CSV بگیرید؛ فایل با پشتیبانی از فارسی ساخته میشود و در نرمافزارهای صفحهگسترده باز میشود.
- خودِ خروجیگیری هم بهعنوان یک رویداد در گزارش ثبت میشود تا روشن باشد چه کسی و کِی دادهها را برداشته است.
- فهرست صفحهبندی شده و رویدادهای تازهتر بالاتر نمایش داده میشوند.
- برای انتخاب تاریخ از تقویم شمسی تسکیـ استفاده کنید تا بازهٔ موردنظر را دقیق مشخص کنید.
نگهداری و انطباق
رکوردهای گزارش تا یک بازهٔ مشخص (بهصورت پیشفرض ۳۶۵ روز) نگهداری میشوند و پس از آن بهصورت خودکار و روزانه پاکسازی میشوند. این بازه برای سازمانهایی که الزامهای انطباق دارند قابل افزایش است. چند توصیه:
- اگر برای ممیزیهای دورهای به سابقهٔ طولانیتری نیاز دارید، پیش از رسیدن به سقف نگهداری خروجی بگیرید و بایگانی کنید.
- گزارش جای بررسی رخدادهای امنیتی است، نه ابزار نظارت لحظهای؛ برای هشدارِ آنی روی رویدادها به سراغ اعلانها بروید.
- دسترسی «مدیریت امنیت» را تنها به افراد مسئول بدهید تا فهرست عاملها و نشانیها محدود و قابلاتکا بماند.
گام بعدی: برای دیدن اینکه چه رویدادهای امنیتیای ثبت میشوند، میتوانید ورود یکپارچه (SSO) و همگامسازی کاربران با SCIM را راهاندازی کنید؛ هر دو رویدادهای خود را در همین گزارش ثبت میکنند.