全部产品
弹性计算 会员服务 网络 安全 移动云 数加·大数据分析及展现 数加·大数据应用 管理与监控 云通信 阿里云办公 培训与认证 更多
存储与CDN 数据库 域名与网站(万网) 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 智能硬件

异常登录

更新时间:2017-12-07 11:16:47

安骑士异常登录功能检测您服务器上的登录行为,对于在非常用登录地的登录行为进行告警;企业版中可允许客户设置合法登录IP、合法登录时间、合法登录账号,在上述合法登录IP、合法登录事件、合法登录账号之外的登录行为均提供告警。

异常登录

在云盾服务器安全(安骑士)管理控制台中的异常登录界面,您可以查看服务器上每次登录行为有异常的登录IP、账号、时间,包括异地登录告警及非法登录IP、非法登录时间、非法登录账号的登录行为告警。

注意:旧版的正常登录行为不再提供展示,统一转移到日志功能中的登录流水中查询。

异常登录功能原理

安骑士 Agent 通过定时收集您服务器上的登录日志并上传到云端,在云端进行分析和匹配。如果发现在非常用登录地或非法登录IP、非法登录时间、非法登录账号的登录成功事件,将会触发事件告警。

当您的服务器第一次接入安骑士时,由于服务器未设置常用登录地,这段期间内的登录行为不会触发告警;当从某个公网IP第一次成功登录服务器后,会将该IP地址的位置记为常用登录地,从该时间点往后顺延24小时内的所有公网登录地也会记为常用登录地;当超过24小时后,所有不在上述常用登录地的登录行为均视为异地登录进行告警。当某个IP被判定为异地登录行为,只会有第一次登录行为进行短信告警,如果该IP成功登录六次或六次以上时,安骑士默认将此IP的地点记录为常用登录地。

注意:异地登录是针对公网IP才有的判断逻辑

告警策略: 安骑士会对某个异地 IP 的第一次登录行为短信告警,如果持续登录则只在控制台告警,知道该IP登录满6次会自动把IP的地址记录为常用登录地

如果您的安骑士的版本为企业版,您可以针对机器设置合法登录IP、合法登录时间、合法登录账号,在上述合法登录IP、合法登录事件、合法登录账号之外的登录行为均提供告警,判断优先级高于异地登录判断。

注意: 您可在 服务器安全(安骑士)管理控制台 > 设置 > 告警配置 中,选择 “登录安全-异常登录” 通知项目的告警方式(可配置为短信、邮件、及站内信方式,默认通过全部方式进行告警)。

操作步骤

  1. 登录 服务器安全(安骑士)管理控制台

  2. 定位到 事件 > 异常登录,查看异常登录告警事件。

    1

  3. 在上角选择 登录安全设置,可以针对机器自主添加常用登录地。

    2

  4. 企业版用户可在上角选择 登录安全设置,可以针对机器自主设置合法登录IP、合法登录时间、合法登录账号。

    3

您也可根据安骑士检测到的异常登录事件信息,在您的服务器上直接查看对应的登录日志记录:

  • Linux 系统: 可在该文件目录下查看相关登录日志/var/log/secure
  • Windows 系统:在 控制面板 > 管理工具 > 事件查看器 中,查看 Windows日志 > 安全 目录中相关的登录审核日志。
本文导读目录