安全中心 堡垒机 审计日志
审计日志

一、审计日志简介

运维安全是IT管理中不可或缺的一环,行云管家在安全层面除了通过事前权限授权、事中敏感指令拦截外,还为用户提供了事后运维审计的特性,用户在行云管家中所进行的运维操作均会以日志的形式记录下来。目前支持审计的运维操作有:主机访问(会话)、文件传输、数据库操作、应用操作、批量作业、任务编排、主机登录凭证修改等,这些操作执行后均会产生审计日志,团队管理者可通过日志对成员的运维操作进行审计,以此来达到安全、可控、合规的团队协作目的;

每个团队成员均可查看自己创建的运维操所产生的审计日志,但是从团队管理的角度考虑,查看团队运维审计日志需要获得相应的权限,相关权限位于团队管理”-“权限管理”-“功能授权”-“多云安全”的“操作日志”中,只要拥有相应的权限,便可查看团队成员的运维审计日志,下面分别从七种运维操作的角度来介绍如何查看审计日志。

二、主机审计日志

进入“安全中心”栏目下的“堡垒机”,选择“主机审计日志”,如果没有团队审计权限,则只能查看个人的审计日志,无法查看团队其他成员的审计日志;

2.1、主机审计

运维审计包含“会话记录”、“指令查询”和“文件操作”三个标签页;

(1)会话记录

“会话记录”从会话的维度展示最近的主机访问日志、登录事由等,点击该条记录,展开日志详情,用户可以点击录像截图查看运维审计录像;

(2)指令查询

“指令查询”为用户提供了一个按照指令来检索操作行为的入口,用户可以输入相关指令,并配合其它搜索条件,准确的查找出相关操作。在结果中点击“指令定位”将打开审计录像,并自动定位到该指令产生的时间点;

在审计录像中,“指令检索”将展示当前会话产生的所有指令,用户可以根据指令关键字、指令类型进行检索,并可快速的将录像定位到相应的时间点;

(3)文件操作

“文件操作”记录了用户在会话的文件操作面板中对文件所做的全部操作:新建文件夹、上传文件、下载文件、文件重命名、移动文件、复制文件、删除文件共七种类型;

如要查询用户通过命令执行的文件操作,请通过会话记录或指令查询进行检索;

2.2、查看审计录像

在会话记录里,点击某个审计日志的审计录像即可查看该会话的审记录像,如图,进来后右边栏“会话详情”有显示该会话的详情信息;

在右边栏“指令检索”可以定位指令以及进行指令检索,并且在观看录像时,我们还可以对录像的播放进行设置;

在右边栏“操作记录”可以查看操作过的人员;

在右边栏“文件操作”可以查看所进行过的文件操作;

三、主机审计录像的下载和离线播放

行云管家提供在线查看审计录像功能,一般建议直接在网页“主机审计日志”菜单下直接查看录像;

3.1、审计录像下载

(1)如图,点击“操作日志”菜单,点击“审计日志”下的“会话审计日志”,选择“会话记录”下您要下载审计录像的那个日志录像;

(2)进入该会话录像后,在右边菜单栏的“会话详情”里点击最下方的“下载审计日志”即可下载审计录像;

3.2、审计录像离线播放

(1)请先前往下载中心下载离线播放器;

(2)以Windows操作系统为例:解压播放器压缩文件;

(3)打开解压好的“RecordPlayer”文件夹,同时双击“startRecordPlayer”,运行播放器;

(4)通过播放器打开下载好的日志文件;

(5)打开文件后,即可查看审计录像

3.3、审计录像默认存储路径(私有部署)

在行云管家管理控制台里,可以在“系统设置”里找到“存储方式”,点击“配置”我们可以看到审计录像、网盘以及冗余文件的默认存储路径,如图,默认存储路径位于:/opt/cloudbility/data/cloudbility/

3.4、审计录像保存时长修改方式(私有部署)

在行云管家管理控制台里,可以在“租户管理”里找到“租户团队管理”,点击“运行时资源配额”,找到当前要修改配置的团队,点击“详情”,在“团队信息”框里点击“运行时资源配额”,在这里可以就可以配置“会话录像保存时长”;

四、FTP/SFTP/SCP审计日志

FTP/SFTP/SCP审计日志对团队成员通过FTP/SFTP/SCP本地工具访问主机时的文件操作进行审计。

进入“安全中心”栏目下的“堡垒机”,选择“FTP/SFTP/SCP”,即可查看FTP/SFTP/SCP审计日志。您可以指定操作时间、操作者、目标主机、云账户及操作类型,进而查看符合条件的FTP/SFTP/SCP审计日志,还可以搜索特定文件名,直接查找定位到对应的文件传输日志。点击查看详情,展开显示文件传输的详情信息。

五、应用审计日志

行云管家支持您发布自定义应用,并支持对团队成员所访问应用进行录像审计,同时支持指令查询。

进入“安全中心”栏目下的“堡垒机”,选择“应用审计日志”,即可查看应用审计日志。应用审计日志支持了会话记录、指令查询及文件操作审计。

(1)会话记录

“会话记录”从应用会话的维度展示应用访问日志,点击应用会话记录,展开日志详情,用户可以点击录像截图查看运维审计录像;

(2)指令查询

“指令查询”为用户提供了一个按照指令来检索应用操作行为的入口,用户可以输入相关指令,并配合其它搜索条件,准确的查找出应用相关操作。在结果中点击“指令定位”将打开审计录像,并自动定位到该指令产生的时间点;

在审计录像中,“指令检索”将展示当前会话产生的所有指令,用户可以根据指令关键字、指令类型进行检索,并可快速的将录像定位到相应的时间点;

(3)文件操作

“文件操作”记录了用户在应用会话中的文件操作面板中对文件所做的全部操作:新建文件夹、上传文件、下载文件、文件重命名、移动文件、复制文件、删除文件共七种类型;

如要查询用户通过命令执行的文件操作,请通过会话记录或指令查询进行检索;

六、文件审计日志

进入“安全中心”栏目下的“堡垒机”,选择“文件审计日志”,即可查看文件审计日志。在这里记录了“文件传输”、“文件分发”、“文件采集”的审计详情;

(1)文件传输

(2)文件分发

(3)文件采集

七、作业执行日志

作业中心里的操作都是直接作用于主机上的操作,从运维管控的角度上考虑,所有在行云管家上执行的作业,都会进行审计记录,以此来达到安全、可控、合规的团队协作目的;

进入“安全中心”栏目下的“堡垒机”,选择“作业执行日志”,里面分别提供了“命令执行”、“脚本执行”。

(1)命令审计

(2)脚本审计

可以看到所有执行过的脚本执行记录,也可以根据执行时间、操作者、执行的主机等进行过滤。对每一条脚本执行记录,可以展开了解脚本执行的细节信息,当需要查看每一台主机的执行结果时,可以点击“查看详情”链接,打开脚本执行审计详情页面。在脚本执行审计详情页面中可以查看每台主机的脚本执行状态和结果。也可以查看脚本执行时的脚本内容,避免脚本修改后无法追溯以前的脚本内容。

八、任务执行日志

在任务编排中,每个用户均能看到自己创建的或已获得授权的其它用户创建的运维任务,为了便于团队管理,我们提供了任务审计功能,团队所有执行过的任务都会在任务审计中展示;

进入“安全中心”栏目下的“堡垒机”,选择“任务执行日志”,可以看到所有执行过的任务执行记录,也可以根据执行时间、操作者等进行过滤。点击查看任意一笔记录,可以打开该笔任务的执行详情,便于管理员进行审计;

九、凭证审计日志

在行云管家中,通过SSH密钥下发、登录凭证批量修改主机密码这两种操作,被称做“凭证修改”,所有的凭证修改操作,都将形成审计日志;

进入“安全中心”栏目下的“堡垒机”,选择“凭证审计日志”,支持操作时间、目标主机、用户、操作类型等进行过滤;