一、审计日志简介
运维安全是IT管理中不可或缺的一环,行云管家在安全层面除了通过事前权限授权、事中敏感指令拦截外,还为用户提供了事后运维审计的特性,用户在行云管家中所进行的运维操作均会以日志的形式记录下来。目前支持审计的运维操作有:主机访问(会话)、文件传输、数据库操作、应用操作、批量作业、任务编排、主机登录凭证修改等七种,这些操作执行后均会产生审计日志,团队管理者可通过日志对成员的运维操作进行审计,以此来达到安全、可控、合规的团队协作目的;
每个团队成员均可查看自己创建的运维操所产生的审计日志,但是从团队管理的角度考虑,查看团队运维审计日志需要获得相应的权限,相关权限位于“操作日志”中,只要拥有相应的权限,便可查看团队成员的运维审计日志,下面分别从七种运维操作的角度来介绍如何查看审计日志。
二、会话审计日志
进入“操作日志”栏目,选择“审计日志/会话审计日志”,如果没有团队审计权限,则只能查看个人的审计日志,无法查看团队其他成员的审计日志;
运维审计包含“会话记录”、“指令查询”和“文件操作”三个标签页;
- “会话记录”从会话的维度展示最近的主机访问日志、登录事由等,点击该条记录,展开日志详情,用户可以点击录像截图查看运维审计录像;
- “指令查询”为用户提供了一个按照指令来检索操作行为的入口,用户可以输入相关指令,并配合其它搜索条件,准确的查找出相关操作。在结果中点击“指令定位”将打开审计录像,并自动定位到该指令产生的时间点;
在审计录像中,“指令检索”将展示当前会话产生的所有指令,用户可以根据指令关键字、指令类型进行检索,并可快速的将录像定位到相应的时间点;
- “文件操作”记录了用户在会话的文件操作面板中对文件所做的全部操作:新建文件夹、上传文件、下载文件、文件重命名、移动文件、复制文件、删除文件共七种类型;
如要查询用户通过命令执行的文件操作,请通过会话记录或指令查询进行检索;
三、FTP/SFTP/SCP审计日志
FTP/SFTP/SCP审计日志对团队成员通过FTP/SFTP/SCP本地工具访问主机时的文件操作进行审计。
进入“操作日志”栏目,选择“审计日志-FTP/SFTP/SCP”,即可查看FTP/SFTP/SCP审计日志。
您可以指定操作时间、操作者、目标主机、云账户及操作类型,进而查看符合条件的FTP/SFTP/SCP审计日志
您还可以搜索特定文件名,直接查找定位到对应的文件传输日志
点击查看详情,展开显示文件传输的详情信息
四、数据库审计
数据库审计分为审计日志及审计录像,如果您用的是数据库访问串或一键唤醒本地工具这类打开当前本地数据库工具的方式来使用数据库,那么您的数据库审计将会以审计日志方式记录。如果您用的是行云管家应用中心功能里的Web桌面或本地工具以会话的形式来打开数据库,那么您的数据库审计将会以审计录像方式记录;
4.1、数据库审计日志
数据库审计日志对团队成员访问数据库及执行的数据库SQL语句进行审计。
进入“操作日志”栏目,选择“审计日志/数据库审计日志/SQL审计”,即可查看数据库审计日志。
您可以指定操作时间、操作者、数据库及SQL类型,进而查看符合条件的数据库审计日志
您还可以搜索特定SQL语句,直接查找定位到SQL语句对应的数据库访问会话
4.2、数据库审计录像
进入“操作日志”栏目,选择“审计日志/数据库审计日志/工具录像审计”,即可查看数据库审计录像。
五、应用审计日志
行云管家支持您发布自定义应用,并支持对团队成员所访问应用进行录像审计,同时支持指令查询。
进入“操作日志”栏目,选择“审计日志/应用审计日志”,即可查看应用审计日志。
应用审计日志支持了会话记录、指令查询及文件操作审计。
- “会话记录”从应用会话的维度展示应用访问日志,点击应用会话记录,展开日志详情,用户可以点击录像截图查看运维审计录像;
- “指令查询”为用户提供了一个按照指令来检索应用操作行为的入口,用户可以输入相关指令,并配合其它搜索条件,准确的查找出应用相关操作。在结果中点击“指令定位”将打开审计录像,并自动定位到该指令产生的时间点;
在审计录像中,“指令检索”将展示当前会话产生的所有指令,用户可以根据指令关键字、指令类型进行检索,并可快速的将录像定位到相应的时间点;
- “文件操作”记录了用户在应用会话中的文件操作面板中对文件所做的全部操作:新建文件夹、上传文件、下载文件、文件重命名、移动文件、复制文件、删除文件共七种类型;
如要查询用户通过命令执行的文件操作,请通过会话记录或指令查询进行检索;
六、作业审计
作业中心里的操作都是直接作用于主机上的操作,从运维管控的角度上考虑,所有在行云管家上执行的作业,都会进行审计记录,以此来达到安全、可控、合规的团队协作目的;
进入“操作日志”栏目,选择“审计日志/作业执行日志”,里面分别提供了“命令执行”、“脚本执行”、“文件分发”、“文件采集”。我们以“脚本审计”为例,可以看到所有执行过的脚本执行记录,也可以根据执行时间、操作者、执行的主机等进行过滤;
对每一条脚本执行记录,可以展开了解脚本执行的细节信息,当需要查看每一台主机的执行结果时,可以点击“查看详情”链接,打开脚本执行审计详情页面;
在脚本执行审计详情页面中可以查看每台主机的脚本执行状态和结果;
也可以查看脚本执行时的脚本内容,避免脚本修改后无法追溯以前的脚本内容。
七、任务审计
在任务编排中,每个用户均能看到自己创建的或已获得授权的其它用户创建的运维任务,为了便于团队管理,我们提供了任务审计功能,团队所有执行过的任务都会在任务审计中展示;
进入“操作日志”栏目,选择“审计日志/任务执行日志”,可以看到所有执行过的任务执行记录,也可以根据执行时间、操作者等进行过滤;
点击查看任意一笔记录,可以打开该笔任务的执行详情,便于管理员进行审计;
八、凭证修改审计
在行云管家中,通过SSH密钥下发、登录凭证批量修改主机密码这两种操作,被称做“凭证修改”,所有的凭证修改操作,都将形成审计日志;
进入“操作日志”栏目,选择“审计日志/凭证修改日志”,支持操作时间、目标主机、用户、操作类型等进行过滤;
点击查看任意一笔记录,可以打开该笔操作的执行详情,便于管理员进行审计;
九、审计录像的下载和离线播放
9.1、审计录像下载
1)如图,点击“操作日志”菜单,点击“审计日志”下的“会话审计日志”,选择“会话记录”下您要下载审计录像的那个日志录像;
2)进入该会话录像后,在右边菜单栏的“会话详情”里点击最下方的“下载审计日志”即可下载审计录像;
9.2、审计录像离线播放
1)请先前往下载中心下载离线播放器;
2)以Windows操作系统为例:解压播放器压缩文件;
3)打开解压好的“RecordPlayer”文件夹,同时双击“startRecordPlayer”,运行播放器;
4)通过播放器打开下载好的日志文件;
5)打开文件后,即可查看审计录像
9.3、审计录像默认存储路径(私有部署)
在行云管家管理控制台里,可以在“系统设置”里找到“存储方式”,点击“配置”我们可以看到审计录像、网盘以及冗余文件的默认存储路径,如图,默认存储路径位于:/opt/cloudbility/data/cloudbility/
9.4、审计录像保存时长修改方式(私有部署)
在行云管家管理控制台里,可以在“租户管理”里找到“租户团队管理”,点击“运行时资源配额”,找到当前要修改配置的团队,点击“详情”,在“团队信息”框里点击“运行时资源配额”,在这里可以就可以配置“会话录像保存时长”;
