运维人员每次通过堡垒机进行运维,都会生成一个会话记录运维操作。审计人员可以通过会话,查看运维人员在运维中是否存在违规操作。

前提条件

在播放会话录像前,需要确认浏览器已经安装Flash Player。

搜索会话

  1. 登录堡垒机系统。具体操作,请参见登录堡垒机系统
  2. 在左侧导航栏,选择审计 > 会话审计
  3. 根据您需要进行搜索的会话类型,单击所有会话图像文字字符命令文件传输页签。
    会话审计_搜索

    图像文字字符命令文件传输这三种审计日志的详细说明如下:

    • 图像文字:可查看通过堡垒机RDP运维访问资产时的审计日志(仅支持Windows Server 2008及以下版本 )。
    • 字符命令:可查看通过堡垒机SSH运维访问资产时的字符命令操作的审计日志。
    • 文件传输:可查看通过堡垒机运维访问资产时的文件上传、删除、更名等操作的审计日志。
  4. 设置搜索条件。

    您可以参考以下表格中的搜索项说明设置搜索条件。

    搜索项 说明
    时间 设置搜索会话的时间范围,支持全部本日本周本月和自定义时间段。
    协议 在下拉栏中选择会话的协议类型,支持全部SSHSFTPRDP
    主机IP 输入会话中运维的目标主机IP。
    主机名 输入会话中运维的目标主机名。
    用户 输入会话的用户名。
    登录名 输入会话中用户登录主机所使用的登录账号名称。
    来源IP 输入会话的来源IP,即用户访问时使用的IP。
    会话ID 输入会话ID。
    删除状态 选择会话删除状态,支持选择以下状态:
    • 全部
    • 未删除
    • 已删除
  5. 可选:单击保存,在查询条件名称中输入名称,单击确定,保存查询条件。
    说明 保存搜索条件后,下次如果需要设置相同的搜索条件,可以直接会话列表右上角的默认条件列表中选择该搜索条件。
  6. 单击搜索

查看会话详情

  1. 搜索目标会话。
    搜索目标会话的具体操作,请参见搜索会话
  2. 定位到目标会话,单击会话操作详情会话审计列表
  3. 会话详情对话框中,查看会话基本信息、用户基本信息和主机基本信息。会话详情

播放会话录像

  1. 搜索目标会话。
    搜索目标会话的具体操作,请参见搜索会话
  2. 定位到目标会话并单击会话操作列的播放,查看运维录像记录。
    会话审计列表2