云堡垒机可提供哪些审计日志?
云堡垒机分别提供实例和系统审计日志。
实例审计
云堡垒机实例审计,需开启云审计服务(Cloud Trace Service,简称CTS),实现对CBH实例的操作的记录,CTS管理控制台将保存最近7天的操作记录。
系统审计
云堡垒机系统能集中管理用户登录系统,提供系统日志和系统报表。此外,CBH系统授权用户登录被纳管的资源,并进行运维操作,云堡垒机提供用户对系统和资源的运维记录,包括历史会话和运维报表。系统审计日志详细内容,请参见下表:
| 日志类型 | 日志内容 |
|---|---|
| 历史会话 | 运维会话视频:无需设置,全程录屏记录运维会话操作,可在线播放或下载操作视频。 运维会话详情:用户运维会话详情,可在线查看或导出Excel文件。详情内容包括资源会话信息、系统会话信息、运维记录、文件传输、协同会话的详细操作记录。 |
| 系统日志 | 以折线图的形式,从多方面呈现用户运维资源随时间变化的趋势,并可生成运维资源综合分析报告。 主要涵盖内容有“运维时间分布”、“资源访问次数”、“会话时长”、“来源IP访问数”、“会话协同”、“双人授权”、“命令拦截”、“字符命令数”和“传输文件数”。 |
| 运维报表 | 系统登录日志:用户登录系统的详细记录,可在线查看或导出Excel文件。 l 系统操作日志:用户系统操作的详细记录,可在线查看或导出Excel文件。 |
| 系统报表 | 以柱状图的形式,从多方面统计用户登录系统和系统操作次数,并可生成系统管理综合分析报告。 主要涵盖内容有“用户控制”、“用户与资源操作”、“用户源IP数”、“用户登录方式”、“异常登录”、“会话控制”和“用户状态”。 |
操作回放视频支持下载吗?
支持下载mp4格式视频文件,并可在多种播放器上播放。
默认情况下,不生成可下载视频文件,需手动“生成视频”。下载视频后请及时删除,以免占用过多存储空间。
步骤 1 登录云堡垒机系统。
步骤 2 选择“审计 > 历史会话”。
步骤 3 单击“操作”列中的“更多 > 生成视频”。
步骤 4 生成视频后,单击“操作”列的“下载”,将视频保存到本地。
步骤 5 下载视频后,可将系统缓存的视频文件删除,可以单击“操作”列中的“更多删除视频”,或选中多条记录单击左下角批量“删除视频”。
说明因登出时间和操作时间不同,下载后的视频文件的总时长与可播放时长可能不一致。“总时长”是指从登录资源到登出资源的时间段,“可播放时长”是指从登录资源到最后一次会话操作的时间段。
可以删除某一天的云堡垒机运维数据吗?
不可以。
云堡垒机系统支持“自动删除”和“手动删除”系统中运维数据。
- “自动删除”:当云堡垒机系统空间使用率达到90%时,或数据在云堡垒机系统存储超过180天(默认180天),系统自动清理数据。
- “手动删除”:手动选择日期,删除选择日期之前的数据。不能删除具体某一天的数据。
说明没有备份的数据删除后不能恢复,建议您对重要的数据进行备份,具体的操作请参见备份系统配置。
系统审计日志支持备份到OBS桶吗?
支持。
目前不仅支持通过FTP/SFTP备份到同一个VPC网络内的服务器中,还支持将数据备份到同一个VPC网络内的OBS桶中
系统审计日志能保存多久?
在云堡垒机系统数据盘空间使用率低于90%情况下,系统审计日志默认可保存180天。
因云堡垒机系统默认开启了“自动删除”功能,将根据日志存储历史和系统存储空间使用率,触发自动删除历史日志。
您也可以修改自动删除设置,修改“自动删除”中日志保存时间,在系统数据盘空间充裕情况下,可延长系统审计日志存储时间,甚至可一直保存系统审计日志。
系统审计日志处理机制是什么?
云堡垒机系统审计日志存储在系统数据盘。系统默认开启“自动删除”功能,根据日志存储时间和系统存储空间使用率,触发自动删除历史日志。
日志自动删除机制说明如下:
- 默认逐日删除180天前历史日志。
- 当系统存储空间使用率高于90%时,将自动清理存放时间最久的日志(每次删除一天的数据),直到空间使用率在90%以下为止。
- 当天审计日志不会被删除。
说明您也可以选择“手动删除”,删除某一天及之前历史日志。
当系统存储空间使用率高于95%后,系统可能会故障无法使用,建议不要关闭“自动删除”功能。
如果用户登录服务器A后,再登录到服务器B,是否能够实现审计?
可以通过录像方式监控在服务器A上执行的所有操作,包括登录服务器B后的操作。如果是Linux服务器,还可以记录在服务器B上执行的命令。
为什么视频可播放时长比总会话时长短?
因云堡垒机视频审计仅记录有效运维时间,即仅记录到最后执行命令操作的时间,不会记录操作空白期到会话关闭的时间。若登出时间和最后操作时间不同,则视频文件的总时长与可播放时长可能不一致。
例如:某次Web浏览器运维会话,总会话时长为30分钟,最后一次执行命令操作时间在第5分钟,后25分钟到退出会话这段时间,无任何操作为操作空白期。视频总时长仍为30分钟,但仅可播放前5分钟,因为后25分钟操作空白期不会被记录。
说明
“总时长”是指从登录资源到登出资源的时间段;
“可播放时长”是指从登录资源到最后一次会话操作的时间段。
为什么收到登录资源提示,但历史会话无登录记录?
因每月5号、15号、25号的凌晨一点,后台启动“自动巡检”,通过登录所有纳管的主机验证资源账户的连通性。验证完成后,系统管理员admin将收到登录资源的验证结果消息。
