会话审计用于审计运维人员对主机操作过程的会话日志。管理员可通过审计会话定位故障及追溯故障根源。支持在线播放会话以及下载离线播放会话两种查看方式。
审计用于审计运维人员对主机的访问操作日志,多角度记录运维人员的操作行为,作为事件追溯的保障和事故分析的依据。会话审计专注于事后审计,主要用于对已经结束的会话进行录像回放或命令检索。
会话审计支持通过时间段、主机网络、来源IP、协议类型等条件进行筛选,还支持通过曾经执行过的命令进行全局检索,并自动跳转到执行这条命令的会话和时间段进行回放。
查看所有会话
参照以下步骤查看会话:
- 在左侧导航栏选择。 在会话审计页面可以查看字符、图形、文件、应用类型的会话审计日志。页面包含所有会话和事件查询两个页签。在所有会话页签中,可通过协议类型、时间范围等条件筛选会话记录。会话列表展示类型、主机、协议/登录名、用户、来源IP、开始时间/结束时间、会话时长/会话大小、主机网络等信息,在操作列可单击播放、下载或详情对会话进行回放、下载或查看详细信息。
- 在会话审计页面,定位到需要查看的会话并单击详情。
在会话详情页面可以查看到详细的会话信息。
- 单击关闭返回管理页面。
- 在会话审计页面,单击下载可下载会话文件,并通过离线播放器查看。 在控制台右上角单击用户名,在下拉菜单中选择工具下载。说明 关于离线播放器,请在工具下载页面中下载并安装至本地。具体操作请参见工具下载。
- 在会话审计页面,单击播放即可通过Web方式查看会话审计。可以查看日志回放、命令记录、搜索等。 说明 要使用Web方式查看会话审计,则必须在本地安装Flash Player。如果未安装Flash Player,请在工具下载页面中下载并安装至本地。具体操作,请参见工具下载。
- 查看完成后,关闭Web页面。
搜索审计会话
参照以下步骤搜索审计会话:
- 在左侧导航栏选择。
- 在所有会话页面单击展开更多搜索条件,并使用组合条件搜索要查看的审计会话。搜索条件包括协议、时间、主机网络、主机(主机名称/主机IP)、登录名、用户(用户名/姓名)、来源IP、会话ID、备注、归档状态和删除状态,设置完成后单击搜索按钮执行查询。
- 单击搜索查看结果。
事件查询
事件查询用于通过曾经执行过的命令进行全局检索,并自动跳转到这条命令的会话和时间段进行播放。
参照以下步骤查询事件:
- 在左侧导航栏选择。
- 单击事件查询页签。事件查询页面包含搜索区域和结果列表。搜索区域提供类型下拉框(默认为所有类型)、时间范围选择,以及搜索、导出搜索结果按钮和展开更多搜索条件链接。结果列表包含时间、主机、用户、类型、内容和会话操作列,会话操作列提供播放和详情按钮。
- 单击详情,在弹出窗口中查看会话的详细信息。
- 单击播放即可通过Web方式播放会话审计。会话回放界面左侧为命令时间线列表,按时间戳列出所有执行命令,支持搜索和筛选;右侧为终端回放窗口,可回放完整的终端操作过程;底部控制栏提供播放、快进按钮、进度条及编码选择(如 GB18030)。
- 查看完成后,关闭Web页面。
搜索事件
参照以下步骤搜索事件:
- 在左侧导航栏选择。
- 单击事件查询页签。
- 单击展开更多搜索条件,使用组合条件进行搜索。组合搜索条件包括类型、时间、主机IP、用户名、会话ID和内容关键字。设置完成后单击搜索执行查询,或单击导出搜索结果导出数据。
导出搜索结果
参照以下步骤导出搜索结果:
- 在左侧导航栏选择。
- 单击事件查询页签。
- 搜索出指定事件后,单击导出搜索结果。
- 设置起始偏移量和导出总条目数后,单击导出即可将过滤后的搜索结果导出。其中起始偏移量为大于等于1的整数,默认值为1;导出总条目数有效值为1~10000,默认值为1000。
该文章对您有帮助吗?