Synology Active Insight 登录活动全指南：从监控到安全防护的实操方案

在维护 Synology NAS 安全时，Synology Active Insight 登录活动是管理员追溯用户访问行为、识别未授权登录的核心工具 —— 它能实时记录所有用户（本地用户、域用户、LDAP 用户）登录 NAS 的关键信息，包括登录时间、来源 IP、设备类型、登录结果（成功 / 失败）等，帮助管理员及时发现 “陌生 IP 登录”“多次密码错误” 等安全风险，避免数据泄露或设备被篡改。但很多用户因不了解 “Active Insight 登录活动的入口位置”“数据解读逻辑”“异常排查流程”，导致安全事件发生后无法快速追溯，错失防护时机。本文基于 Synology 官方技术文档，从 “功能价值→前提条件→分步实操→风险应对” 四个维度，提供覆盖 DSM 7.x/6.x 的完整指南，帮你高效掌控 NAS 登录安全。

在开始操作前，需明确 “登录活动监控” 对 NAS 安全的重要性，避免因忽视该功能导致安全漏洞：

• 场景 1：实时监控登录行为：实时掌握谁在登录 NAS、从哪个 IP 登录、用什么设备登录，避免 “他人偷偷访问却不知情”；

• 场景 2：追溯安全事件：若 NAS 出现数据异常（如文件丢失、权限被改），可通过登录活动记录，定位 “异常时间段的登录用户”，快速排查责任人；

• 场景 3：合规审计：企业用户需满足 “登录行为留痕” 的合规要求（如 ISO 27001），Active Insight 登录活动可自动保留日志，支持导出审计报表。

每一条登录活动记录都包含以下 5 类核心数据，管理员可通过这些信息判断登录行为是否正常：

要正常查看登录活动，需先满足 “版本兼容 + 权限充足 + 功能启用” 三个条件，缺一不可，避免操作时遇到 “找不到入口”“无查看权限” 等问题：

不同 DSM 版本的 Active Insight 界面位置与操作逻辑略有差异，以下分 “DSM 7.x（主流版本）” 和 “DSM 6.x（旧版本）” 详细说明，步骤精确到 “点击哪个按钮、在哪里找到选项”：

1. 登录 DSM 7.x 管理界面（如通过 IP 192.168.1.200 访问）；

2. 在主菜单（左下角 “开始” 图标）中找到 “Active Insight” 图标（蓝色监控图表样式），点击打开；

3. 首次打开需等待 30 秒初始化（加载监控数据），初始化完成后进入主界面。

1. 在 Active Insight 左侧菜单栏中，找到 “安全” 分类，点击 “登录活动”（图标为 “用户登录” 样式）；

2. 进入登录活动页面，默认显示 “近 24 小时所有用户的登录记录”，按 “登录时间” 倒序排列（最新记录在顶部）。

若需精准查找某条记录（如 “用户 user1 昨天的登录情况”），可通过 “筛选条件” 缩小范围：

1. 时间范围筛选：点击页面顶部 “时间范围” 下拉框，可选 “近 1 小时、近 24 小时、近 7 天、近 30 天”，或 “自定义时间”（如 2025-05-19 00:00 至 2025-05-19 23:59）；

2. 用户筛选：点击 “用户” 下拉框，选择目标用户（如 “user1”“admin”），或选择 “所有用户”；

3. 登录结果筛选：点击 “登录结果” 下拉框，可选 “成功、失败（密码错误）、失败（IP 拦截）、超时”，快速定位异常记录；

4. IP / 设备筛选：在搜索框输入 “IP 地址”（如 192.168.1.100）或 “设备名称”（如 iPhone 15），实时过滤结果。

1. 查看单条记录详情：点击某条登录记录右侧的 “详情”（箭头图标），可查看完整信息：

• • 登录类型：本地登录 / 远程登录（通过 QuickConnect）；

• • 客户端版本：如 DSM 网页端 1.0.0、Synology Drive 客户端 3.2.0；

• • 登录时长：若已登录，显示 “已登录 2 小时 15 分”；若已登出，显示 “登录时长 30 分”；

2. 导出登录记录：若需生成审计报表，点击页面右上角 “导出” 按钮，选择导出格式（CSV/Excel），设置导出范围（当前筛选结果 / 所有记录），点击 “确定”，文件会自动下载到本地电脑。

1. 登录 DSM 6.x 界面，点击桌面 “套件中心” 图标；

2. 在 “已安装” 标签中找到 “Active Insight”，点击 “打开”；

1. Active Insight 主界面中，点击顶部 “监控” 标签，选择 “登录活动”；

2. 与 DSM 7.x 不同，DSM 6.x 默认显示 “近 7 天记录”，筛选条件在页面左侧（时间、用户、登录结果），操作逻辑与 7.x 一致。

1. 点击记录右侧 “查看” 按钮查看详情；

2. 导出功能在页面底部，点击 “导出数据”，选择格式后下载，步骤与 7.x 相同。

很多管理员能看到登录记录，但不懂如何判断 “是否安全”，以下通过 “数据含义解读 + 异常特征” 帮你精准识别风险：

• 信任 IP 判断：

• • 内网 IP：如 192.168.x.x（家庭 / 企业内网）、10.x.x.x（企业内网）、172.16.x.x-172.31.x.x（内网段），通常为信任来源；

• • 常用外网 IP：如公司公网 IP、管理员家庭公网 IP（可通过 “IP 归属地查询” 确认，如查询为 “北京市 联通”，与管理员所在地一致）；

• 非信任 IP 特征：

• • 归属地异常：如 IP 归属为 “境外”“陌生城市”（非公司 / 管理员所在地）；

• • IP 段异常：如大量不同 IP（如 203.0.113.x、117.158.x.x）短时间内尝试登录，可能为黑客工具批量扫描。

• 正常：常用设备（如管理员的 Windows PC、工作手机 iPhone 15）；

• 异常：陌生设备类型（如 “Linux 服务器”“未知 Android 设备”）、从未使用过的客户端（如 “Synology SSO 客户端”，管理员未配置过该客户端）。

当发现异常登录记录（如陌生 IP 登录成功、多次密码错误），需按以下步骤快速处理，避免风险扩大：

1. 进入 DSM「控制面板→用户账户→用户列表」；

2. 找到异常登录的账号（如 “user1”），点击「编辑→安全」；

3. 勾选 “临时锁定账号”，设置锁定时长（如 24 小时），点击「确定」；

• • 若为 admin 账号异常，需先创建临时管理员账号，避免锁定后无法登录。

1. 记录异常登录的 IP 地址（如 203.0.113.5）；

2. 用 IP 归属地查询工具（如 IP138、百度 IP 查询）确认归属地；

3. 询问内部员工：是否有员工在该归属地登录（如出差员工用酒店网络登录）；

• • 若为误判（如员工出差登录）：解锁账号，将该 IP 添加到 “信任 IP 列表”（DSM「控制面板→安全→防火墙→信任客户端」）；

• • 若为真实异常（陌生归属地）：进入下一步。

1. 强制下线异常登录会话：

• • 打开 Active Insight→登录活动→找到异常登录记录→点击「操作→强制登出」；

2. 检查账号权限：

• • 进入「控制面板→用户账户→编辑→权限」，确认该账号未被添加 “管理员权限”“敏感文件夹访问权限”，若有异常，立即移除；

3. 检查共享文件夹：

• • 打开「File Station」，查看敏感文件夹（如 “财务数据”）是否有文件删除 / 修改记录，若有，通过 “版本历史” 恢复。

1. 强制修改密码：

• • 要求异常账号及所有管理员账号，修改为 “大小写 + 数字 + 特殊字符” 的强密码（≥12 位）；

2. 启用二次验证：

• • 进入「控制面板→用户账户→编辑→安全→二次验证」，为所有账号启用 “Google Authenticator” 或 “短信验证”；

3. 配置 IP 黑名单：

• • 进入「控制面板→安全→防火墙→黑名单」，添加异常 IP（如 203.0.113.5），设置 “永久拦截”；

4. 限制登录时间段：

• • 进入「控制面板→用户账户→编辑→登录设置」，勾选 “限制登录时间段”（如工作日 9:00-18:00），非工作时间禁止登录。

为避免 “忘记查看登录记录导致错过异常”，可配置 Active Insight 登录活动告警，异常发生时自动通知管理员，步骤如下：

1. 打开 Active Insight→点击左上角 “设置”→选择 “告警规则”；

2. 找到 “登录活动告警”，点击「创建规则」。

勾选需触发告警的异常场景（推荐全选）：

• 10 分钟内同一账号出现 3 次及以上登录失败（密码错误）；

• 陌生 IP（非信任 IP 列表）首次登录成功；

• IP 被 DSM 自动拦截；

• 非工作时间段（如 22:00-6:00）登录成功。

1. 邮件通知（推荐）：

• • 勾选 “邮件”，输入接收告警的邮箱地址（如 admin@company.com）；

• • 设置邮件标题（如 “【NAS 安全告警】Active Insight 异常登录”）；

2. 短信通知（企业用户推荐）：

• • 需先在 DSM 中配置短信服务（如对接阿里云短信）；

• • 勾选 “短信”，输入管理员手机号；

3. Synology 通知中心：

• • 勾选 “Synology 通知”，管理员登录 DSM 时会弹出告警弹窗。

1. 点击「应用」保存规则；

2. 点击「测试告警」，确认接收方式能正常收到告警信息（如邮件、短信），避免配置错误导致漏通知。

原因：1. 登录活动记录保存周期已过（默认保存 90 天，超过后自动清理）；2. 登录用户为 “Guest” 账户（默认不记录 Guest 登录）；3. Active Insight 版本过低（<2.0.0 无登录活动模块）。

解决：1. 查看周期内记录：缩小时间范围至 90 天内；2. 启用 Guest 记录：Active Insight 设置→登录活动记录→勾选 “记录 Guest 登录”；3. 升级 Active Insight 至最新版。

解释：指用户通过 Synology QuickConnect 服务登录（而非直接通过内网 IP），登录设备可能在异地（如用户在家通过 QuickConnect 访问公司 NAS）；

判断：若 QuickConnect 登录的用户、IP、设备均为信任来源（如管理员），则正常；若为陌生用户，则需立即锁定账号。

可以：1. 按 “查看步骤” 中的导出功能，将 CSV/Excel 文件备份到外接硬盘；2. 企业用户可通过 “Hyper Backup” 将登录活动数据定期备份到另一台 NAS，避免本地数据丢失。

不能：默认仅 “administrators” 群组用户能查看所有登录记录；若需普通用户查看自己的记录，可在 Active Insight 设置→权限→勾选 “允许普通用户查看自身登录记录”，但无法查看其他用户记录。

使用 Synology Active Insight 登录活动的核心是 “主动监控 + 精准识别 + 快速响应”—— 通过定期查看记录掌握登录动态，通过数据解读识别异常风险，通过告警设置提前预警，通过四步排查解决安全问题。对个人用户而言，它能防范家庭 NAS 被陌生人访问；对企业用户而言，它是满足合规审计、保障业务数据安全的关键工具。建议管理员每周花 10 分钟查看登录活动，每月导出一次记录备份，让 NAS 登录安全 “看得见、管得住”。