1. 社区首页
  2. 常见问题(FAQ)
  3. 安全审计
  4. 审计日志问题

审计日志问题

1、安全审计录像位置在哪里(私有部署版)?

问题解答:

录像审计日志存储位置是由用户自己指定的,安装后会有一个初始化配置,初始化的时候可以进行指定,不指定的话会有默认路径,可以在门户管理控制台里查看具体路径;

 

2、命令审计录像支持windows2003操作系统吗?

问题解答:支持;

 

3、登录事由日志在那里可以查看?

问题解答:

i、操作日志->审计日志->会话审计日志->点开其中一个日志->登录事由;

ii、私有部署版4.5版本需要升级到4.6或后续版本就可以看到;

 

4、如何查看服务器/主机近期操作日志

问题解答:

操作日志->审计日志->会话审计日志;

 

5、审计录像日志里显示正在生成录像,点开后显示正在加载,录像无法查看

  

处理方式:

i、SaaS版请反馈给行云管家客服或技术支持人员;

ii、私有部署版请检查门户服务器当前是否做了安全限制,限制IP或域名、端口等;请检查proxy主机时间以及时区是否正确;

 

6、审计录像设置

问题解答:

i、团队设置->云账户->点其中一个云账户设置可以针对该云账户进行设置默认审计录像是否开启,如图1;

ii、运维策略->关键设备运维策略->策略编辑->审计录像设置的录像优先级大于云账户里,可以对单台机器进行设置;如图2;

 

7、审计录像:预处理失败

处理方式:

请反馈给行云管家客服或技术支持人员检查网络资源等情况;

 

8、审计录像如何下载?

问题解答:

审计录像不是视频,是指令录像,后续会开发专用工具进行下载并查看;

 

9、指令审计日志记录逻辑(windows及linux):

问题解答:

在审计录像中,“指令检索”将展示当前会话产生的所有指令;

所有会话都是通过中转服务器记录下来,然后发给专门处理指令的服务器上面,再发给目标服务器;

i、windows:windows是图形化的,通过图形去识别cmd里面的文本指令,很难避免误差;

目前在windows2008能比较好的支持,windows2008文字和渲染的图片都是服务器返回的,一一对应所以正确;

但是windows2012及2016后服务器不再返回文字,审计内容的字符都是ocr出来的,所以不能保证正确性,如图;行云管家后续会进行相关评估改进;

ii、linux:直接通过指令控制台记录;

 

10、当一个会话结束后,为什么我无法及时查看该会话的审计录像?

问题解答:

行云管家的审计录像并不是常规意义上的截屏,事实上,它是通过中转服务器将所有的指令集与协议记录下来,然后将指令集做一些预处理以方便指令集查询。因此,受限于指令集大小以及指令集预处理的工作强度与调度能力,审计录像无法实时查看,您需要等待一段时间(原则上不超过10分钟),即可以查看会话的审计录像。

 

11、审计日志有没有定期清理功能(私有部署版)

问题解答:

当前审计日志并没有定期清理功能,后续版本会集成;

 

12、Windows2016系统无法打开行云管家指令播放器

问题解答:

i、对startRecordPlayer.bat文件右键点击属性;

ii、勾选最下面的安全选项里的解除锁定即可;