IMC mac地址绑定、IP地址绑定 是否能生成log供审计

iMC PLAT7.3 (E0710H10)+EIA7.3 (E0633P07) MAC/IP 绑定变更审计日志完整说明
核心结论
分两类行为、两套独立审计日志，均可完整追溯、支持导出审计，满足等保追溯需求：
二级管理员手工清空 / 修改用户绑定 MAC/IP：记录在【平台操作日志】，精确到操作账号、修改前后绑定值；
终端新上线自动绑定 MAC/IP（自动覆盖原有绑定）：记录在【端点变更记录 / 接入日志】，记录自动绑定事件、新旧 MAC/IP。
一、场景 1：二级管理员手动清空 / 修改用户绑定（人为操作审计）
日志存放位置（超级管理员 admin 可看全量，二级管理员需分配日志查看权限）
路径：顶部【系统】→【系统配置】→【操作日志】
日志特征
模块：EIA 接入用户管理
操作关键字：修改接入用户
日志内容示例：
操作员test2（二级管理员）修改接入用户“张三”基本信息成功，原绑定MAC:XX-XX-XX-XX-XX-XX，新绑定MAC:空；原绑定IP:192.168.1.10，新绑定IP:无
记录要素：操作人账号、操作时间、操作用户名、修改前 / 后完整绑定 MAC、IP、操作结果（成功 / 失败）
筛选查询方法
点击【查询】，模块选择「终端智能接入管理 (EIA)」；
关键字输入修改接入用户或用户名；
支持导出 Excel 做审计归档。
权限补充
二级管理员默认看不到全部操作日志，需超级管理员在操作员分组权限中勾选「系统日志查看」权限。
二、场景 2：终端上线自动覆盖绑定（新终端自动绑定日志）
分为两条日志交叉佐证：端点变更记录（硬件绑定变更）+ EIA 接入日志（认证上线）
1）端点变更记录（自动绑定基线变更，最直观）
路径：【自动化】→【端点探测管理】→【端点变更记录】
记录内容：
变更类型：自动关联用户、更新基线绑定
变更内容：旧 MAC/IP、新 MAC/IP、关联的接入用户名
触发方式：终端 802.1X 认证上线，EIA 自动绑定新终端覆盖原有绑定
作用：专门记录系统自动更新 MAC/IP 绑定基线行为，区分人工修改与系统自动更新。
2）EIA 接入日志（终端上线认证记录）
路径：【自动化】→【用户业务】→【日志管理】→【接入日志】
每条终端上线都会生成日志：用户名、终端 MAC、分配 IP、认证时间、接入设备端口；
可交叉核对：某用户某时间新 MAC 上线 → 对应端点变更记录同步覆盖旧绑定。
三、区分两种日志核心差异（审计时快速定位）
表格
行为 日志位置 记录主体 关键信息
二级管理员手动清空 / 修改绑定 系统→操作日志 管理员操作行为 操作员账号、修改前后绑定值
终端上线系统自动覆盖绑定 端点探测→端点变更记录 系统自动基线更新 新旧终端 MAC/IP、关联用户
终端正常 802.1X 上线 用户业务→接入日志 终端认证行为 上线时间、当前 MAC/IP
四、等保审计配套配置（日志留存 / 转储）
日志自动转储：操作日志页面点击【数据转储配置】，定期导出日志到本地 / 外部服务器，防止数据库滚动覆盖；
日志存储周期：iMC 默认保存 90 天，可在系统参数延长至 180 天满足等保；
导出归档：操作日志、端点变更记录均支持批量导出 Excel，作为审计凭证留存。
五、常见排查实操步骤（追溯绑定被清空 / 自动替换）
先查操作日志：筛选 EIA 模块，看是否有二级管理员手动清空绑定；
若无人工操作记录，再查端点变更记录：筛选目标用户，查看是否存在自动更新绑定记录；
匹配对应时间点的接入日志，确认是哪台新终端上线触发自动覆盖；
三条日志交叉核对，完整还原 “旧绑定清空→新终端上线→自动绑定新 MAC/IP” 全过程。
补充避坑
自动绑定不会生成 “操作日志”（操作日志只记人工操作），必须看端点变更记录；
仅超级管理员能查看所有二级管理员操作日志，普通二级管理员只能查看自身操作；
日志不可手动删除，只能通过转储导出、自动老化清理，具备审计不可篡改特性。

1. 针对“管理员清空绑定信息”的审计（操作日志）

• 审计机制：iMC 平台（PLAT）自带操作审计功能。所有针对“接入用户”属性的修改（包括清空或修改绑定 MAC/IP），都会被记录在操作日志（Operation Log）中。
• 查看路径：在 iMC 平台中，通常可以通过“系统” > “日志管理” > “操作日志”进行查询。您可以筛选出操作对象为“接入用户”、操作类型为“修改”的记录，日志中会明确显示操作人、操作时间以及具体修改了哪些字段。

2. 针对“新终端自动绑定”的审计（认证行为日志）

• 审计机制：EIA 在处理每次认证时，会记录完整的认证生命周期。特别是对于“自学习”绑定，系统会在认证日志中体现终端的 MAC、IP 以及最终匹配的账号信息。
• 查看路径：进入 iMC EIA 的“业务” > “接入业务管理” > “接入日志查询”。
• 排查技巧：根据发生变动的时间段和对应的 MAC 地址进行检索。重点关注日志中的“认证前身份识别”阶段和“认证后”使用的账号字段，这能清晰确认该 MAC 是以哪个账号、在什么时间完成了自动绑定上线。

3. 针对“绑定校验失败”的审计（异常日志）

• 审计机制：当终端的 IP 或 MAC 与 EIA 中绑定的信息不一致时，认证会直接失败，并提示“IP 地址绑定检查失败”或“MAC 地址绑定检查失败”。
• 审计价值：这类失败日志是审计“非法接入”或“终端违规变动”的最直接证据。