运维安全中心(堡垒机)支持将审计日志(即运维记录)归档到日志服务 SLS(Simple Log Service)。审计日志归档配置完成后,堡垒机在接收到运维记录时,即可自动实时将审计日志转存到日志服务中。本文介绍如何将审计日志归档到日志服务。
仅支持将配置完成后产生的审计日志,归档到日志服务,配置前的审计日志不支持归档。
背景信息
审计日志即堡垒机用户使用堡垒机的操作记录,包括会话命令审计和操作日志。堡垒机默认仅提供180天日志存储服务,如果需要长期保存审计日志,您可以将审计日志归档到SLS。将审计日志归档到SLS后,您可以对审计日志进行查询和分析,自定义日志保存时间,同时支持将日志通过SLS转发到Splunk等第三方平台。更多信息,请参见查询与分析或阿里云日志服务Splunk Add-on。
将审计日志归档到SLS后,存储在堡垒机的审计日志不受影响,您仍可以在会话审计页面,查看审计日志。更多信息,请参见搜索和查看会话。
操作步骤
登录日志服务控制台。
根据页面提示,开通日志服务。
访问日志审计服务页面。
重要自2025年1月21日起,日志审计服务控制台入口已移除。但存量用户(2025年1月21日前开通)仍可见。新增用户如需使用旧版,可访问新版日志审计服务,利用其返回旧版功能。具体操作详见:日志审计(旧版)。
在左侧导航栏,选择云产品接入 > 全局配置,并参考以下步骤配置审计信息。
在中心项目Project所在区域下拉列表中,选择日志中心化存储的目标地域。
在云产品列表中,打开堡垒机操作日志开关并设置存储方式中的存储时间。
查看堡垒机审计日志。
在左侧导航栏,单击
图标。选择中心化 > 堡垒机,查看审计日志。
下表是堡垒机审计日志转存到日志服务 SLS(Simple Log Service)后的日志字段详情,供您参考。
SLS日志字段
字段说明
__topic__
日志主题,固定为bastionhost。
owner_id
阿里云账号ID。
region
堡垒机实例所在地域。
content
字符命令、文件传输等操作的内容。
event_type
事件类型。详情请参见event_type详细说明。
instance_id
堡垒机实例ID。
resource_address
运维的资产IP地址。
resource_name
运维的资产名称。
result
字符命令、文件传输等操作的结果。
session_id
会话ID,会话唯一标识。
user_client_ip
用户来源IP地址,即用户访问堡垒机使用的IP。
threat_user_client_ip
用户来源IP地址的威胁情报(非堡垒机原始日志信息)。
说明日志审计服务支持对接入日志服务的云产品日志进行威胁情报检测,有效识别云产品使用过程中存在的潜在威胁。更多信息,请参见生成威胁情报。
user_id
堡垒机用户ID,即用户唯一标识。
user_name
堡垒机用户名称。
event_type详细说明
事件 | 说明 |
db.oracle.req | oracle数据库请求事件 |
db.mysql.req | mysql数据库请求事件 |
db.pgsql.req | PostgreSQL数据库请求事件 |
cmd.Command | 命令字符 |
cmd.Command.policy | 被控制策略处理过的命令 |
graph.Text | 图形文字 |
graph.Keyboard | 图形键盘事件 |
file.Upload | 上传文件 |
file.Download | 下载文件 |
file.Rename | 重命名文件 |
file.Delete | 删除文件 |
file.DeleteDir | 删除目录 |
file.CreateDir | 创建目录 |
login.CSLogin | 用户CS登录 |
Session.session | 一个会话 |
下列事件仅V3.2.43及以上版本支持 | |
login.CSPasswordLogin | CS账密登录认证 |
login.CSResetPassword | CS修改密码 |
login.PortalPasswordLogin | Portal用户账密登录认证 |
user.PortalResetPassword | Portal修改密码 |
user.PortalClearOTP | Portal清除手机OTP令牌 |
user.PortalBindOTP | Portal绑定手机OTP令牌 |
user.PortalLogout | Portal退出登录 |
login.CSTwoFactorLogin | CS双因子认证 |
login.PortalTwoFactorLogin | Portal双因子认证 |
user.CreateUser | 创建用户 |
user.DeleteUser | 删除用户 |
user.ModifyUser | 编辑用户 |
user.LockUser | 锁定用户 |
user.UnlockUser | 解锁用户 |
user.CreateUserPublicKey | 添加用户SSH公钥 |
user.ModifyUserPublicKey | 更新用户SSH公钥 |
user.DeleteUserPublicKey | 删除用户SSH公钥 |
user.ExportUsers | 导出用户 |
user.SyncRemoteUserDN | 同步远程用户DN |
user.NotifyUserOperationAddress | 修改用户登录限制 |
user.SetUserUSBKey | 绑定用户USBKEY证书 |
user.ResetUserUSBKey | 解绑用户USBKEY证书 |
user.CreateUserGroup | 创建用户组 |
user.ModifyUserGroup | 编辑用户组 |
user.DeleteUserGroup | 删除用户组 |
user.AddUsersToGroup | 添加用户组成员 |
user.RemoveUsersFromGroup | 移除用户组成员 |
asset.CreateHost | 创建主机 |
asset.ModifyHost | 编辑主机 |
asset.DeleteHost | 删除主机 |
asset.EnableHost | 启用主机 |
asset.DisableHost | 禁用主机 |
asset.ResetHostsFingerPrint | 更新主机指纹 |
asset.RefreshECSHostStatus | 检查ECS主机状态 |
asset.RefreshKMSSecretsForECS | 检查更新ECS主机KMS凭据状态 |
asset.RefreshAssetNetworkStatus | 检查资产网络状态 |
asset.ExportHosts | 导出主机 |
asset.CreateDatabase | 创建数据库资产 |
asset.ModifyDatabase | 修改数据库资产 |
asset.DeleteDatabase | 删除数据库资产 |
asset.EnableDatabase | 启用数据库资产 |
asset.DisableDatabase | 禁用数据库资产 |
asset.RefreshRDSDatabaseStatus | 检查RDS数据库资产状态 |
asset.ExportDatabases | 导出数据库资产 |
asset.CreateAssetGroup | 创建资产组 |
asset.ModifyAssetGroup | 编辑资产组 |
asset.DeleteAssetGroup | 删除资产组 |
asset.AddHostsToGroup | 添加资产组主机成员 |
asset.RemoveHostsFromGroup | 移除资产组主机成员 |
asset.AddDatabasesToGroup | 添加资产组数据库成员 |
asset.RemoveDatabasesFromGroup | 移除资产组数据库成员 |
asset.AddAppsToGroup | 添加资产组应用成员 |
asset.RemoveAppsFromGroup | 移除资产组应用成员 |
asset.CreateHostAccount | 创建主机账户 |
asset.ModifyHostAccount | 编辑主机账户 |
asset.DeleteHostAccount | 删除主机账户 |
asset.ResetHostAccountCredential | 清除主机账户凭据 |
asset.CreateDatabaseAccount | 创建数据库账号 |
asset.ModifyDatabaseAccount | 修改数据库账号 |
asset.DeleteDatabaseAccount | 删除数据库账号 |
asset.CreateAssetSource | 创建第三方资产源 |
asset.ModifyAssetSource | 编辑第三方资产源 |
asset.DeleteAssetSource | 删除第三方资产源 |
authorization.AttachHostAccountsToUser | 授权用户使用主机账号 |
authorization.DetachHostAccountsFromUser | 刪除用户已授权的主机账号 |
authorization.AttachHostAccountsToUserGroup | 授权用户组使用主机账号 |
authorization.DetachHostAccountsFromUserGroup | 刪除用户组已授权的主机账号 |
authorization.AttachAssetGroupAccountsToUser | 授权用户使用主机账号名 |
authorization.DetachAssetGroupAccountsFromUser | 刪除用户已授权的主机账号名 |
authorization.AttachAssetGroupAccountsToUserGroup | 授权用户组使用主机账号名 |
authorization.DetachAssetGroupAccountsFromUserGroup | 刪除用户组已授权的主机账号名 |
asset.AttachDatabaseAccountsToUser | 授权用户使用数据库账号 |
asset.DetachDatabaseAccountsFromUser | 刪除用户已授权的主机账号 |
asset.AttachDatabaseAccountsToUserGroup | 授权用户组使用数据库账号 |
asset.DetachDatabaseAccountsFromUserGroup | 刪除用户组已授权的数据库账号 |
policy.CreatePolicy | 创建控制策略 |
policy.DeletePolicy | 删除控制策略 |
policy.ModifyPolicy | 更新控制策略 |
policy.AttachUsersToPolicy | 控制策略关联用户 |
policy.DetachUsersFromPolicy | 移除控制策略关联的用户 |
policy.AttachUserGroupsToPolicy | 控制策略关联用户组 |
policy.DetachUserGroupsFromPolicy | 移除控制策略关联的用户组 |
policy.AttachHostsToPolicy | 控制策略关联主机 |
policy.DetachHostsFromPolicy | 移除控制策略关联的主机 |
policy.AttachAssetGroupsToPolicy | 控制策略关联主机组 |
policy.DetachAssetGroupsFromPolicy | 移除控制策略关联的主机组 |
policy.CreateDatabaseMaskPolicy | 创建数据脱敏策略 |
policy.ModifyDatabaseMaskPolicy | 修改数据脱敏策略 |
policy.DeleteDatabaseMaskPolicy | 删除数据脱敏策略 |
policy.AttachDatabasesToPolicy | 控制策略关联数据库 |
policy.DetachDatabasesFromPolicy | 移除控制策略关联的数据库 |
policy.AttachAppsToPolicy | 控制策略关联应用 |
policy.DetachAppsFromPolicy | 移除控制策略关联的应用 |
policy.SetPolicyUserScope | 设置指定控制策略的用户生效范围 |
policy.SetPolicyAssetScope | 设置指定控制策略的资产生效范围 |
policy.SetHostAccountToPolicy | 设置指定控制策略关联主机的账户 |
policy.SetDatabaseAccountToPolicy | 设置指定控制策略关联数据库的账户 |
policy.SetAppAccountToPolicy | 设置指定控制策略关联数据库的账户 |
policy.SetAssetGroupAccountNamesToPolicy | 设置指定控制策略关联资产组的账户 |
policy.GenerateApproveCommand | 生成命令审批记录 |
policy.CancelApproveCommand | 取消命令审批 |
policy.AcceptApproveCommand | 允许命令审批 |
policy.RejectApproveCommand | 拒绝命令审批 |
policy.GenerateApproveCommand | 创建一条命令审批 |
task.CreatePasswordTask | 创建改密任务 |
task.ModifyPasswordTask | 更新改密任务 |
task.DeletePasswordTask | 删除改密任务 |
task.AttachHostAccountsToPasswordTask | 给改密任务关联主机账号 |
task.DetachHostAccountsFromPasswordTask | 解除改密任务关联的主机账号 |
task.ExecutePasswordTask | 执行改密任务 |
task.CancelPasswordTask | 取消改密任务 |
task.EnablePasswordTask | 启用改密任务 |
task.ExportPasswordTaskHistory | 导出改密任务历史 |
system.DeleteAuditSessionVideo | 删除会话录像文件 |
system.ModifyInstanceTwoFactor | 修改双因子认证配置 |
system.InterruptAuditSession | 阻断会话 |
system.ImportBastionHostConfig | 导入配置备份 |
system.ExportBastionHostConfig | 导出配置备份 |
system.ModifyInstanceLDAPAuthServer | 修改LDAP认证服务器配置 |
system.ModifyInstanceADAuthServer | 修改AD认证服务器配置 |
system.AddInstanceMember | 添加实例RD成员账户 |
system.RemoveInstanceMember | 移除实例RD成员账户 |
system.ModifyInstanceTLSConfig | 修改TLS安全性配置 |
system.ModifyDataEncryptionConfig | 修改数据加密方式配置 |
system.VerifyUserInfoSignature | 用户关键信息验签 |
system.BindIDaaSInstance | 绑定IDaaS实例 |
system.UnbindIDaaSInstance | 解绑IDaaS实例 |
system.ModifyInstanceLoginPolicy | 修改用户登录配置和用户锁定策略配置 |
system.ModifyInstanceUserPolicy | 修改用户密码安全配置和用户状态配置 |
system.CreateInstanceADAuthServer | 创建实例AD认证服务器 |
system.DeleteInstanceADAuthServer | 删除实例AD认证服务器 |
system.ModifyInstanceIDaaSConfig | 修改已绑定的IDaaS实例配置 |
system.ModifyInstanceOperationConfig | 修改实例运维配置 |
system.ModifyInstanceAssetPolicy | 修改连通性状态检查周期配置 |
system.AddInstanceNotificationReceiveUser | 添加消息通知告警管理员 |
system.RemoveInstanceNotificationReceiveUser | 移除消息通知告警管理员 |
system.ModifyInstanceNotificationConfig | 修改消息通知配置 |
system.ModifyInstanceStorePolicy | 修改会话录像自动删除配置 |
system.ModifyInstanceSessionPolicy | 修改会话列表自动清理配置 |
audit.DownloadOperationEventsBackup | 下载运维事件日志备份 |
audit.ExportOperationAuditReport | 导出运维报表 |
audit.DownloadAutoOperationTaskOutput | 下载自动运维任务结果 |
asset.CreateHostShareKey | 创建共享密钥 |
asset.ModifyHostShareKey | 编辑共享密钥 |
asset.DeleteHostShareKey | 删除共享密钥 |
asset.AttachHostAccountsToHostShareKey | 共享密钥关联主机账号 |
asset.DetachHostAccountsFromHostShareKey | 取消主机账号和共享密钥关联 |
asset.CreateNetworkDomain | 创建网络域 |
asset.ModifyNetworkDomain | 编辑网络域 |
asset.DeleteNetworkDomain | 删除网络域 |
asset.MoveHostsToNetworkDomain | 修改主机所属网络域 |
asset.MoveDatabasesToNetworkDomain | 修改数据库所属网络域 |
authorization.CreateRule | 创建授权规则 |
authorization.ModifyRule | 修改授权规则 |
authorization.DeleteRule | 删除授权规则 |
authorization.EnableRule | 启用授权规则 |
authorization.DisableRule | 禁用授权规则 |
authorization.ExportAuthorizationRelation | 导出授权关系 |
operation.CreateOperationTicket | 创建运维审批工单 |
operation.AcceptOperationTicket | 允许运维申请 |
operation.RejectOperationTicket | 拒绝运维申请 |
operation.CancelOperationTicket | 取消运维申请 |
task.CreateAutoOperationTask | 新建运维任务 |
task.ModifyAutoOperationTask | 修改运维任务 |
task.DeleteAutoOperationTask | 删除运维任务 |
task.StartAutoOperationTask | 开始运维任务 |
task.StopAutoOperationTask | 停止运维任务 |
task.CreateAutoOperationScript | 新建运维脚本 |
task.ModifyAutoOperationScript | 修改运维脚本 |
task.DeleteAutoOperationScript | 删除运维脚本 |
task.AcceptOperationTaskApproval | 允许自动运维任务工单 |
task.RejectOperationTaskApproval | 拒绝自动运维任务工单 |
task.CancelAutoOperationTask | 取消运维任务申请 |
asset.ImportKMSSecretsForHost | 导入KMS凭据 |
operation.ConnectAsset | 连接资产 |
operation.LoginAsset | 登录资产 |
operation.LogoutAsset | 登出资产 |
operation.SetOperationSSOConfig | 修改单点登录运维终端设置 |
operation.ModifyOperationUserProfile | 运维员修改个人信息 |
asset.CreateAppServer | 创建应用服务器 |
asset.ModifyAppServer | 修改应用服务器 |
asset.DeleteAppServers | 删除应用服务器 |
asset.SyncAppServerAccount | 同步应用服务器账号 |
asset.CreateAppTool | 创建远程客户端工具 |
asset.ModifyAppTool | 修改远程客户端工具 |
asset.DeleteAppTools | 删除远程客户端工具 |
asset.CreateApp | 创建应用 |
asset.ModifyApp | 修改应用 |
asset.DeleteApps | 删除应用 |
asset.DeleteApp | 删除单个应用 |
asset.CreateAppAccount | 创建应用账号 |
asset.ModifyAppAccount | 修改应用账号 |
asset.DeleteAppAccounts | 删除应用账号 |
asset.AttachAppAccountsToUser | 添加用户已授权的应用账号 |
asset.DetachAppAccountsFromUser | 删除用户已授权的应用账号 |
asset.AttachAppAccountsToUserGroup | 添加用户组已授权的应用账号 |
asset.DetachAppAccountsFromUserGroup | 删除用户组已授权的应用账号 |