运维人员每次通过堡垒机进行运维,会话结束后都会生成一个会话记录运维操作。审计人员可以通过会话,查看运维人员在运维中是否存在违规操作。

操作步骤

  1. 登录堡垒机系统。具体操作,请参见登录堡垒机系统
  2. 在左侧导航栏,选择审计 > 会话审计
  3. 根据需要选择会话类型。可选类型包括所有会话图像文字字符命令文件传输

    图像文字字符命令文件传输这三种审计日志的详细说明如下。

    • 图像文字:可查看通过堡垒机RDP运维访问资产时的审计日志(仅支持Windows Server 2008及以下版本)。
    • 字符命令:可查看通过堡垒机SSH运维访问资产时的字符命令操作的审计日志。
    • 文件传输:可查看通过堡垒机运维访问资产时的文件上传、删除、更名等操作的审计日志。
  4. 配置搜索条件,然后单击搜索

    您可以根据会话中运维的主机IP、会话的用户名、会话ID等搜索项配置搜索条件。

    查询条件区域,您也可以单击保存,在保存查询条件对话框中输入查询条件名称,然后单击确定,保存配置。保存后,下次查询时可以在会话列表右上角的默认条件列表中选择该搜索条件,调用相同的搜索项。

  5. 在会话列表中,定位到目标会话。在目标会话的会话操作列,您可以播放会话录像,或者查看会话详情。
    • 播放会话录像

      单击播放,查看运维录像记录。

    • 查看会话详情

      单击详情,在会话详情对话框中,查看会话基本信息、用户基本信息和主机基本信息。