操作场景
该任务指导用户在MRS Manager查看、导出审计日志工作,用于安全事件中事后追溯、定位问题原因及划分事故责任。
系统记录的日志信息包含:
- 用户活动信息,如用户登录与注销,系统用户信息变更,系统用户组信息变更等。
- 用户操作指令信息,如集群的启动、停止,软件升级等。
操作步骤
查看审计日志
- 在MRS Manager,单击“审计管理”,可直接查看默认的审计日志。
若审计日志的审计内容长度大于256字符,请单击审计日志展开按钮展开审计详情。
- 默认以“产生时间”列按降序排列,单击 操作类型 、安全级别、产生时间、用户、主机、服务、实例或操作结果可修改排列方式。
- 支持在“安全级别”筛选相同级别的全部告警。结果包含已清除和未清除的告警。
导出的审计日志文件,包含以下信息列:
- “编号”:表示MRS Manager已生成的审计日志数量,每增加一条审计日志则编号自动加1。
- “操作类型”:表示用户操作的操作类型,分为“告警”、“审计日志”、“备份恢复”、“集群”、“采集日志”、“主机”、“服务”、“多租户”和“用户管理”九种场景,其中“用户管理”仅在启用了Kerberos认证的集群中支持。每个场景中包含不同操作类型,例如“告警”中包含“导出告警”,“集群”中包含“启动集群”,“多租户”包含“增加租户”等。
- “安全级别”:表示每条审计日志的安全级别,包含“高危”、“危险”、“一般”和“提示”四种。
- “开始时间”:表示用户操作开始的时间,且时间为CET或CEST时间。
- “结束时间”:表示用户操作结束的时间,且时间为CET或CEST时间。
- “用户IP”:表示用户操作时所使用的IP地址。
- “用户”:表示执行操作的用户名。
- “主机”:表示用户操作发生在集群的哪个节点。如果操作不涉及节点则不保存信息。
- “服务”:表示用户操作发生在集群的哪个服务。如果操作不涉及服务则不保存信息。
- “实例”:表示用户操作发生在集群的哪个角色实例。如果操作不涉及角色实例则不保存信息。
- “操作结果”:表示用户操作的结果,包含“成功”、“失败”和“未知”。
- “内容”:表示用户操作的具体执行信息。
- 单击“高级搜索”,在审计日志搜索区域中,设置查询条件,单击“搜索”,查看指定类型的审计日志。单击“重置”清除输入的搜索条件。
说明“开始时间”和“结束时间”表示时间范围的开始时间和结束时间,可以搜索此时间段内产生的告警。
导出审计日志
- 在审计日志列表中,单击“导出全部”,导出所有的日志。
- 在审计日志列表中,勾选日志信息前的复选框,单击“导出”,导出指定日志。
