FAQ 体检中心
体检中心问题

1、异常登录检查登录IP没有显示IP

问题解答:

(1)该信息是通过目标主机系统日志来进行获取的:

Windows:登录目标主机,在计算机管理->事务查看器->Windows日志->安全->筛选当前日志:输入ID 4625(登录失败的ID),选择时间范围即可搜索相关日志。

Linux:通过读取/var/log/secure、var/log/auth.log 、/var/log/messages等文件的登录失败日志 ,解析日志获取;

(2)当在系统日志里无法获取到IP时,就会使用主机名等关键词;

2、异常登录检查检查结果:发现n次异常登录

问题解答:

(1)该信息是通过目标主机系统日志来进行获取的:

Windows:登录目标主机,在计算机管理->事务查看器->Windows日志->安全->筛选当前日志:输入ID 4625(登录失败的ID),选择时间范围即可搜索相关日志。

Linux:通过读取/var/log/secure、var/log/auth.log 、/var/log/messages等文件的登录失败日志 ,解析日志获取;

3、异常登录检查里发现经常有其他IP异常登录,如何防范?

问题解答:

(1)对所有服务器防火墙以及网络防火墙进行配置,只允许行云管家门户、中转IP地址以及Proxy宿主机的IP能访问这些服务器;

(2)定期修改服务器密码;

4、/tmp、/var/tmp、/dev/tmp临时目录如何处理?

问题解答:

这三类目录建议加入白名单,这样就不会告警了;

(1)Linux默认一般会挂载 /dev/shm;

(2)/tmp和/var/tmp这两个不是挂载点,但他们是目录,所以也会检测出来;

5、危险端口开放检查是如何检查的?

问题解答:

危险端口开放检查是通过在行云管家门户服务器里执行以下命令进行查询的:

nmap -T4 -sS -d -n -PN --min-rate=400 --max-rate=600 --max-retries=2 目标主机ip

6、在主机体检报告里,为什么有些体检项无法检测?

问题解答:

行云管家的主机体检报告是对主机每天的运行情况进行分析和检测,所分析的运行数据来源于云厂商以及行云管家Agent提供的监控数据。因此,如果发现某项指标无法检测,请做如下检查:

(1)是否具备体检的基本条件:例如某些主机没有公网IP,那么部分安全性指标及公网出站负载检测将无法进行;

(2)是否已开启该监控项:行云管家不会默认将所有监控项都开启,要对某项指标进行体检,需要开启相关监控项

(3)某些监控项需要安装云厂商的监控插件才能获取,如内存、TCP连接数等,因此建议您确保云主机都已安装好监控插件并正常运行(延伸阅读:安装阿里云监控插件安装腾讯云监控插件)。

7、抱歉,当前主机还不具备体检条件哦!

问题解答:

要对主机进行体检,您需要满足以下条件:

(1)公有云主机:等待主机各项监控数据获取完成后,每天会自动进行体检,您无需手动执行体检操作;

(2)局域网主机:需要安装行云管家Agent之后才能进行体检;

(3)如果已经装了行云管家Agent,可以通过重启Agent或等待第二天来看下是否有体检;

8、我的服务器明明存在异常登录,为什么在系统安全异常登录检查中却没有体现?

问题解答:

行云管家系统安全异常登录检查是通过对目标主机的操作系统日志进行分析,来确认是否存在异常登录行为,在某些个人版本的Windows操作系统(如Win7)中,默认不会开启登录事件审核,自然也不会记录异常登录事件。

请在“开始/运行”中输入“gpedit.msc”打开本地组策略编辑器,打开“计算机配置/Windows设置/安全设置/本地策略/审核策略/审核帐户登录事件”(参考下图,不同版本的操作系统会略有不同),在“审核这些操作”设置中,勾选“失败”即可。

9、体检报告某些问题项评判不准确怎么办?

行云管家体检报告中对体检结果的评判,是以业内一些约定俗成的知识体系为依据,而每家企业/组织的业务不尽相同,如果对问题项的评判存在异议,您可以选择忽略对该问题项的检查。