mac、ip地址变动这个过程能否生成可供审计的log？

1. 开启 MAC 地址变化通知（MAC Information）

• 配置思路：需要同时开启全局和接口的 MAC Information 功能。
• 相关命令：
  • 全局开启：mac-address information enable
  • 接口开启：在对应接口下执行 mac-address information enable added（记录新增）或 deleted（记录删除）。
  • 通知方式：可配置为 Syslog 或 SNMP Trap，默认间隔为 1 秒。

2. 监控 MAC 地址迁移（MAC Move）

• 配置思路：开启 MAC 地址迁移上报功能，并可配置迁移抑制功能。
• 相关命令：
  • 开启迁移上报：mac-address notification mac-move
  • 查看迁移记录：display mac-address mac-move。

绑定信息里能看到相关信息

整套 MAC/IP 绑定变更全流程全部有可审计日志，分为管理员手动清空绑定、终端上线自动覆盖绑定两类独立日志，记录完整变更前后 MAC/IP、操作人员、时间，支持导出归档、满足等保审计追溯；两套日志互相佐证，可完整还原 “人工清空绑定→新终端上线自动重绑” 全过程。
一、场景 1：二级管理员手动清空 / 修改用户 MAC/IP 绑定（人为操作日志）
日志入口（超级管理员可见全量二级管理员操作）
顶部菜单【系统】→【系统配置】→【操作日志】
日志核心字段
模块：终端智能接入管理 (EIA)
操作行为：修改接入用户
完整记录要素：操作员账号（二级管理员用户名）、操作 IP、操作时间、操作用户账号、修改前绑定 MAC/IP、修改后绑定 MAC/IP
示例日志内容：
操作员admin2（二级管理员）修改接入用户test01成功，原绑定MAC:XX-XX-XX-XX-XX-XX，新绑定MAC:空；原绑定IP:192.168.66.10，新绑定IP:无
权限补充
二级管理员默认无查看全量操作日志权限，超级管理员需在操作员分组权限勾选系统日志查看，才能查看所有操作记录。
审计操作
筛选模块 = EIA，关键字填入用户名 /“修改接入用户”，支持批量导出 Excel 留存审计。
二、场景 2：终端 802.1X 上线，系统自动覆盖绑定（自动变更日志）
管理员清空绑定后，新终端认证上线，EIA 自学习自动绑定新 MAC/IP，不会写入操作日志，由两套日志交叉审计：
1）端点变更记录（核心自动绑定变更日志，首选）
路径：【自动化】→【端点探测管理】→【端点变更记录】
变更类型：自动关联用户、更新基线绑定
记录内容：变更时间、关联用户名、旧 MAC / 旧 IP、新 MAC / 新 IP、触发方式（802.1X 认证自学习）
作用：专门记录系统自动更新用户绑定基线行为，区分人工修改和系统自动绑定。
2）EIA 接入日志（辅助佐证，确认上线事件）
路径：【自动化】→【用户业务】→【日志管理】→【接入日志】
每条终端上线都会记录：用户名、终端新 MAC、分配 IP、认证时间、接入交换机端口；
可匹配端点变更记录的时间点，确认是哪台终端触发自动绑定覆盖。
三、两类日志核心区分表
表格
变更行为 日志位置 记录对象 关键审计信息
二级管理员手动清空 / 修改绑定 系统→操作日志 管理员人为操作 操作人账号、修改前后绑定值
终端上线自动覆盖旧绑定 端点探测→端点变更记录 EIA 系统自动更新 新旧 MAC/IP、关联接入用户
终端正常 802.1X 认证上线 用户业务→接入日志 终端认证行为 上线时间、当前终端 MAC/IP
四、完整追溯排查流程（用户绑定被清空、自动换新终端）
先查操作日志：筛选 EIA 模块，核对是否二级管理员手动清空绑定；
若无人工操作记录，查询端点变更记录，查看该用户是否存在自动更新绑定记录；
匹配同一时间点接入日志，确认上线终端信息；
三份日志组合，完整还原整条变更链路，用于审计举证。
五、等保审计配套配置建议
日志自动转储：操作日志、端点变更记录页面开启数据转储配置，定期导出异地保存，避免数据库滚动覆盖；
延长日志存储周期：系统参数中将日志留存时间调整至 180 天，满足等保要求；
日志不可手动删除，仅系统自动老化清理，具备不可篡改审计特性。
六、常见疑问
自动绑定为什么不在操作日志里？
操作日志仅记录人工操作，系统后台自动更新基线属于业务行为，统一记录在端点变更记录。
日志能否导出做审计归档？
操作日志、端点变更记录、接入日志均支持批量导出 Excel，可留存审计台账。
二级管理员能查自己的操作日志吗？
分配日志查看权限后，仅能查看自身操作记录；超级管理员可查看所有二级管理员操作。