运维人员每次通过堡垒机进行运维,会话结束后都会生成一个会话记录运维操作。审计人员可以通过会话,查看运维人员在运维中是否存在违规操作。
登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。
在堡垒机实例列表,定位到目标实例,单击管理。
在左侧导航栏,选择。
根据需要选择会话类型。
图像文字:可查看通过堡垒机RDP运维访问资产时的文本类型审计日志。图像文字审计分两个类型的事件:图形文字和键盘命令。
图形文字:Windows Server 2008及以下版本默认记录。
键盘命令:默认不开启记录。需前往控制策略中开启键盘命令后才会记录。
说明配置控制策略的RDP选项时勾选键盘记录后,RDP运维时的键盘记录审计日志会在列表展示。具体操作,请参见配置控制策略。
字符命令:可查看通过堡垒机SSH运维访问资产时的字符命令操作的审计日志。
文件传输:可查看通过堡垒机运维访问资产时的文件上传、删除、更名等操作的审计日志。
数据库审计:可查看通过堡垒机运维数据库的SQL语句及执行结果。
日志备份:可通过堡垒机管理运维日志。更多信息,请参见日志备份。
配置搜索条件,然后单击搜索。
您可以根据会话中运维的主机IP、会话的用户名、会话ID等搜索项配置搜索条件。
在查询条件区域,您也可以单击保存,在保存查询条件对话框中输入查询条件名称,然后单击确定,保存配置。保存后,下次查询时可以在会话列表右上角的默认条件列表中选择该搜索条件,调用相同的搜索项。
在会话列表中,定位到目标会话。在目标会话的会话操作列,您可以播放会话录像,或者查看会话详情。
播放会话录像:单击播放,查看运维录像记录。
说明EXEC指令操作审计可在字符命令页签查看执行的指令内容,不支持通过录像播放查看。
查看会话详情:单击详情,在会话详情对话框中,查看会话基本信息、用户基本信息和主机基本信息。