无影云电脑如何进行日志审计_无影云电脑企业版-阿里云帮助中心

无影云电脑企业版提供丰富的日志查询能力、录屏审计能力和监控报警功能。您可以随时查询关于管理员操作、终端用户操作或文件传输的详细日志，可以借助录屏审计能力来记录终端用户在云电脑上的操作过程并随时回看，也可以借助各类监控页面和图表了解云电脑的运行状况。

01 操作日志

操作日志可以帮助您监控并记录管理员和终端用户的操作，其中管理员操作日志记录了通过控制台、OpenAPI等对云电脑进行访问和使用的行为；用户操作日志记录了终端用户开机、关机、重启、重置、连接、断连等行为。操作日志为您进行安全分析、资源变更行为追踪、行为合规性审计等操作提供了有效依据。

1.1 管理员操作日志

管理员操作日志功能基于阿里云操作审计（ActionTrail）服务，可以帮助您监控并记录阿里云账号的活动，以便进行安全分析、资源变更行为追踪、行为合规性审计等操作。

默认状态：开启（不可关闭）
配置责任：客户
功能费用：免费
依赖产品：无
条件限制：无
参考文档：查看管理员操作日志

配置或使用方法

登录无影云电脑企业版控制台。
在左侧导航栏，选择安全与审计 > 操作日志。
在顶部菜单栏左上角处选择目标地域。
在管理员操作日志页签上，根据需要设置查询条件和查询时间段，并单击图标进行查询。
- 查询条件：支持按读写类型、关联资源类型、是否敏感操作、事件名称和操作者名称查询。
- 查询时间段：默认显示前7天（当前时间之前的7天）的操作日志，您可以设置自定义的时间段。
查看事件信息。
- 每条事件记录会显示事件发生时间、操作者名称、事件名称、关联资源。
- 在操作列单击查看事件详情，可以在详情面板上查看事件的详细信息，包括API请求ID、事件源、事件源IP等。在事件记录区域可以查看JSON格式的事件详细信息。关于事件中各字段的说明，请参见管控事件结构定义。

1.2 用户操作日志

用户操作日志记录了终端用户连接云电脑、开关机等行为。您可以根据需要进行查询，并审计是否存在异常操作。

默认状态：开启（不可关闭）
配置责任：客户
功能费用：免费
依赖产品：无
条件限制：无
参考文档：查看用户操作日志

配置或使用方法

登录无影云电脑企业版控制台。
在左侧导航栏，选择安全与审计 > 操作日志。
在顶部菜单栏左上角处选择目标地域。
在用户操作日志页签上，选择或输入查询条件、查询值、查询时间段。
符合上述筛选条件的用户操作记录将显示在下方表格中。操作日志包括以下信息：
- 事件信息：对应操作行为，包括事件的ID、类型和发生时间。
- 用户信息：对应执行该操作的终端用户，包括用户名称。
- 云电脑信息：对应被操作的云电脑，包括云电脑的ID及名称，多台共享型云电脑的ID及名称，以及云电脑所属的办公网络的ID及名称。
- 客户端信息：对应被操作的客户端，包括客户端系统、客户端版本和客户端IP。
说明
如需导出上述查询结果，单击右上角的导出即可将其导出为Excel文件并自动下载至本地。

1.3 将用户操作日志投递到SLS日志库

无影云电脑企业版支持将终端用户的操作日志投递到日志服务SLS的日志库，以便通过日志服务实现对终端用户操作日志的审计及监控管理，并针对可疑操作日志及时发出告警，避免信息泄露，以保证业务数据安全。

默认状态：关闭
配置责任：客户
功能费用：投递用户操作日志的过程不收取费用。但投递用户操作日志功能依赖于日志服务，用户操作日志投递到日志服务后，日志服务会收取存储日志的费用，费用详情请参见计费概述。
依赖产品：日志服务 SLS（Simple Log Service）
条件限制：无
参考文档：将用户操作日志投递到SLS日志库

配置或使用方法

登录无影云电脑企业版控制台。
在左侧导航栏，选择安全与审计 > 操作日志。
单击用户操作日志页签，然后单击右上角的投递到SLS日志库。
（条件）首次使用该功能时，在弹出的无影云电脑服务关联角色对话框中单击确定。
在投递到SLS日志库面板中配置日志库，您可以新增一个日志库，也可以选择一个现有的日志库。配置完毕后单击确定。

1.4 文件传输日志

文件传输日志记录了终端用户在云电脑和本地设备之间传输文件的详细信息，包括通过剪贴板传输和通过文件传输模块传输。您可以根据需要进行查询，并审计是否存在异常操作。

默认状态：开启（不可关闭）
配置责任：客户
功能费用：免费
依赖产品：无
条件限制：无
参考文档：查看文件传输日志

配置或使用方法

登录无影云电脑企业版控制台。
在左侧导航栏，选择安全与审计 > 操作日志。
在顶部菜单栏左上角处选择目标地域。
在文件传输日志页签上，选择或输入查询条件、查询值、查询时间段。
符合上述筛选条件的文件传输记录将显示在下方表格中。传输日志包括用户名、云电脑名称/ID、操作类型等文件传输详细信息。

02 录屏审计

2.1 录屏审计策略

根据企业的安全审计要求，您可能需要审计云电脑上所执行的操作。借助云电脑策略中的录屏审计管控规则（公测），您可以将云电脑上的操作录制为视频，录制后也可以随时回看这些视频。

重要

录屏会涉及审计对象的数据隐私，请务必确保已获得审计对象的授权。

默认状态：关闭
配置责任：客户
功能费用：
- 功能使用费用：本功能属于增值服务，目前处于公测阶段，公测期间免费使用。公测结束后开始收费，计费相关说明会提前发布公告，届时请以公告为准。
- 其他相关费用：录屏视频仅支持保存到OSS中，系统自动为您创建一个OSS Bucket，您需要支付视频存储空间的费用。具体计费信息，请参见OSS计费概述。
依赖产品：无
条件限制：
录屏审计管控仅适用于同时满足以下全部条件的云电脑：
- 采用ASP协议。详细信息，请参见ASP协议。
- 操作系统为Windows或Linux（Linux Ubuntu 20.04）。
- 云电脑镜像为0.1.0或以上版本的系统镜像，或者基于此系统镜像创建的自定义镜像。
录屏视频默认保存在当前地域的OSS Bucket中，若您在云电脑上使用VPN相关软件，为确保录屏文件上传成功，请将*.aliyuncs.com添加到白名单中。
参考文档：审计相关规则

配置或使用方法

登录无影云电脑企业版控制台。
在左侧导航栏，选择运维管理 > 策略。
在策略页面上单击创建策略。
在创建策略页面上按照页面提示填写策略名称，根据需要修改策略配置，并单击确定。
策略创建完成后，您可以在策略页面的列表中查看新建的策略。

在录屏审计管控区域打开录屏审计开关，阅读录屏审计功能使用须知，并单击我已阅读，并同意开启，然后完成以下配置。

配置项	说明
录屏类型	请选择一种录屏类型：全程录屏：从终端用户成功连接云电脑到断开连接云电脑的全过程均录制。间隔录屏：仅在您指定的时间段录制。若终端用户在结束时间之前断开连接，则立即结束录制。若选择此项，则需要设置间隔录屏时间。用户操作录屏：若选择此项，则需要在用户操作录屏选项区域选择录制触发条件，支持多选。云电脑与本地电脑进行文件双向上传、下载录屏：云电脑与运行云电脑的本地设备之间出现文件上传或下载操作时触发录制。执行命令录屏：用户使用键盘、鼠标或手绘板等设备输入内容即触发录制。说明达到触发条件时立即开始录制，当触发条件不再满足时，并不会立即停止录制，而是会延迟10分钟。在此10分钟内，若始终没有再次达到触发条件，则10分钟后停止录制；若再次达到触发条件，则以此时间点为起点继续延迟10分钟。监听会话生命周期录屏：从会话创建成功开始到会话注销的全过程均录制。推荐RPA场景使用此选项。说明会话生命周期录屏与全程录屏的区别在于，全程录屏在终端用户断开连接的时刻终止，而会话生命周期录屏在会话注销的时刻终止，会话注销的条件是终端用户对云电脑执行关机操作，或者云电脑断开连接后达到预先设置的会话断连保留时长。
录制云电脑声音	根据需要选择仅录制画面不录制声音或音画同期录制。
录屏图像帧率	支持的可选图像帧率：2 FPS（帧/秒）、5 FPS、10 FPS和15 FPS。帧率越高，视频越流畅，所需的存储空间也越大。请合理选择帧率，优化您的存储空间。
录屏文件阅览时长	支持的可选时长有：10分钟、20分钟、30分钟或60分钟。录屏文件按照您设置的阅览时长自动切分并上传至存储空间，文件达到300 MB时优先滚动更新。
录屏视频存储	录屏视频默认保存在当前地域的OSS Bucket中，会产生OSS费用。具体计费信息，请参见计费概述。重要若您在云电脑上使用VPN相关软件，为确保录屏文件上传成功，请将`*.aliyuncs.com`添加到白名单中。录屏结束后，您可以在控制台上查看或下载录屏视频。具体操作，请参见查看或下载录屏文件。
保留时间	录屏视频默认在OSS Bucket中保留15天，支持设置保留时间的范围为：1~180天。警告录屏视频会按照您设置的保留时间保存在当前地域的OSS Bucket中，到期后录屏视频将从OSS Bucket和控制台的录屏记录页签永久删除。

03 监控与报警

监控报警功能可以全方位地监控云电脑的分布情况、云电脑资源使用情况、会话连接情况以及网络运行状况等，帮助您全盘了解资源健康状况，及时发现并解决问题，以保证业务顺畅运行。

3.1 配置报警规则

监控功能可以帮助您全面了解云电脑资源的使用情况和会话的连接情况，报警功能则可以结合监控指标上报相应资源在使用过程中的问题，以便您及时发现并解决问题，保证业务顺畅运行。

报警规则用于规定哪些数据指标满足何种条件后触发报警，以及报警的级别、生效时间等。

默认状态：关闭
配置责任：客户
功能费用：免费
依赖产品：无
条件限制：无
参考文档：配置报警规则

配置或使用方法

在左侧导航栏，选择监控与报警 > 报警服务。
单击报警规则页签，然后单击创建报警规则。

在创建报警规则面板上配置以下信息，并单击确定。

配置项	说明	示例值
报警规则名称	报警规则的名称。	CPU占用报警
报警来源	报警信息来源，默认为云电脑。	云电脑
关联范围	全部资源：对全部云电脑执行该规则。云电脑实例：对您选择的云电脑执行该规则。	全部资源
指标类型	单指标：仅监控一个指标，但可以为该指标制定多个不同级别的报警规则。多指标：同时监控多个指标，只能为所有指标制定同一种级别的报警规则，但需要制定复合触发条件。	单指标
生效时间	报警规则的生效时间段。	08:00-09:59
通道沉默周期	用于避免在一定时间段内由于持续触发报警规则而产生连续报警。如果在该周期结束后，仍然触发报警规则，则重新发送报警信息。	30分钟
报警组	接收报警信息的联系组。	运维一组
单指标规则相关配置项
报警指标	需要监控的指标。	当前消耗的总CPU百分比
报警级别监控指标阈值	针对报警指标制定的各个级别的报警触发条件。至少要制定一个级别的报警触发条件。	普通平均值连续3个周期>80%
多指标规则相关配置项
报警级别	不同级别的报警对应的报警信息发送方式不同：紧急：电话+短信+邮件+钉钉警告：短信+邮件+钉钉普通：邮件+钉钉	普通
报警级别监控指标阈值	针对各个报警指标的报警触发条件。最多可设置10个条件。	磁盘使用率平均值>80% 内存使用率平均值>60%
指标关系	当所有指标符合条件时则报警：针对各个指标的触发条件之间是“且”的关系，即需要全部满足才会触发报警。当任意指标符合条件时则报警：针对各个指标的触发条件之间是“或”的关系，即只要满足任一条件就会触发报警。	当任意指标符合条件时则报警
报警所要达到的阈值次数	需要在多少个连续周期内达到上述复合触发条件才会触发报警。	连续3个周期

3.2 监控大盘

监控大盘展示云电脑相关的整体数据指标，帮助您从全局视角了解云电脑的使用情况、分布情况和云电脑资源的健康状况。

默认状态：开启（不可关闭）
配置责任：阿里云
功能费用：免费
依赖产品：无
条件限制：无
参考文档：查看监控大盘

配置或使用方法

登录无影云电脑企业版控制台。
在左侧导航栏，选择监控与报警 > 监控大盘。
在监控页面，可以总览云电脑的各方面指标，包括云电脑数量、云电脑状态、登录耗时、云电脑网络延迟等。
说明
您可以在监控页面的右上角单击图标或图标查看告警信息。在报警对话框的右上角单击查看更多报警可以进入报警记录页面查看报警详情。

3.3 会话监控

阿里云为无影配备了会话监控功能。作为管理员，您可以随时查看终端用户的云电脑会话情况并管理会话，有需要时还可以对终端用户进行远程协助。

默认状态：开启（不可关闭）
配置责任：阿里云
功能费用：免费
依赖产品：无
条件限制：无
参考文档：查看会话监控信息

配置或使用方法

登录无影云电脑企业版控制台。
在左侧导航栏，选择监控与报警 > 会话监控。
在顶部菜单栏左上角处选择目标地域。

在会话监控页面，您可以查看终端用户的会话连接信息，并按需使用以下功能。

功能	说明	操作
导出	将会话记录的详细信息导出为文件。	单击页面右上角的导出。
断开连接	断开已连接的用户会话。断开后，终端用户若重新连接会话，仍可进入原来的会话。	选择一个或多个会话，单击会话列表底部的断开连接，并在确认对话框中单击确认。
注销会话	注销用户会话，未保存的数据都将销毁。注销后，终端用户重新连接会话后，进入新的会话。	选择一个或多个用户，单击会话列表底部的会话注销，并在确认对话框中单击确认。
发送消息	向会话中的终端用户发送消息。	选择一个或者多个用户，单击会话列表底部的发送消息，并输入主题和消息，然后单击确定。消息发送后，您会在控制台收到消息已成功发送的通知；接收消息的云电脑会收到并展示您发送的消息内容。
应用列表	查看和管理终端用户的应用和进程。	在目标会话的操作列单击应用列表，可以查看终端用户在云电脑上运行的全部应用信息，包括应用名称、运行状态等。如需关闭应用或进程，您可以在应用列表面板上，单击应用操作列的结束应用或进程操作列的终止进程。
远程协助	借助远程协助，您可以远程控制终端用户的云电脑，帮助终端用户快速定位并解决问题。管理员或终端用户均可发起远程协助。关于该功能的详细信息，请参见协作相关规则。	管理员发起远程协助单击目标用户操作列的远程协助，并等待终端用户同意。终端用户发起远程协助如果终端用户发起远程协助，您可以在相应会话的用户请求帮助记录列查看到图标，此时您需要单击操作列的远程协助，然后按照页面提示接受请求，与终端用户完成协助相关的操作。说明出于数据安全合规考虑，协助者和被协助者在使用远程协助时的相关行为将会被记录在日志中，以备随时审计。如需查看审计日志，请参见查看操作日志。

会话监控页面展示的指标及含义如下：

连接用户：连接该云电脑会话的用户的名称。
会话状态：会话目前的连接状态，包括已连接和已断开。
最近一次开始连接时间：用户最近一次连接云电脑的时间。
用户请求帮助记录：用户从客户端发起远程协助的申请记录。
最近一次连接时长：用户最近一次从开始连接云电脑直到断开云电脑会话连接的时长。
累计空闲时长：在您选择的时间范围内，会话连接期间的累计空闲（即没有键盘或鼠标输入）时长。
累计连接时长：在您选择的时间范围内的会话累计连接时长。
云电脑ID/名称：会话相关的云电脑ID和名称。
云电脑购买方式：云电脑的购买方式，包括按需购买、按月购买-不限时长、按月购买-120/250小时。
办公网络ID/名称：会话相关的云电脑所属的办公网络ID和名称。
操作系统：云电脑的操作系统。
终端类型：用户使用的无影终端类型。
终端IP：用户使用的无影终端的本地IP地址。
软件版本：用户使用的无影终端版本。

3.4 实时监控

实时监控提供终端用户登录云电脑的实时数据（例如用户在线数量、在线时长的前十用户、平均登录时间和云电脑网络延迟分布情况）以及相关故障预警信息，以便快速准确定位，迅速处理故障，避免因资源、网络问题或者外部操作原因造成不必要的损失。

说明

阿里云为无影配置实时监控功能，实时监控提供终端用户登录云电脑的实时数据（例如用户在线数量、在线时长前十的用户、平均登录时间和云电脑网络延迟分布情况）以及相关故障预警信息，以支持您快速准确定位和迅速处理故障，避免因资源、网络问题或者外部操作原因造成不必要的损失。

默认状态：开启（不可关闭）
配置责任：阿里云
功能费用：免费
依赖产品：无
条件限制：无
参考文档：查看实时监控

配置或使用方法

在左侧导航栏，选择监控与报警 > 实时监控。
在实时监控页面，可以查看云电脑终端用户登录云电脑的数据、云电脑网络延迟和故障预警等信息。

3.5 云电脑监控

监控图表能直观地展现云电脑在指定时间段内各监控指标的变化情况。

说明

阿里云负责提供监控图表的功能，支持您基于自身需求对指标的变化进行监测并做出相应判断。

默认状态：开启（不可关闭）
配置责任：阿里云
功能费用：免费
依赖产品：无
条件限制：无
参考文档：查看云电脑监控信息

配置或使用方法

登录无影云电脑企业版控制台。
在左侧导航栏，选择监控与报警 > 云电脑资源监控。
在顶部菜单栏左上角处选择目标地域。
在云电脑资源监控页面，单击云电脑资源、云电脑池资源或者资源TOP 50页签，然后在目标云电脑的操作列单击监控图表。
在打开的监控详情页面，您可以选择预设的时间段或自定义时间段，并查看当前云电脑在所选时间段内各监控指标的图表，包括CPU使用率、内存使用率、磁盘相关参数等。