更新时间:2023-03-17 GMT+08:00

查看及导出审计日志

操作场景

该任务指导用户在MRS Manager查看、导出审计日志工作,用于安全事件中事后追溯、定位问题原因及划分事故责任。

系统记录的日志信息包含:

  • 用户活动信息,如用户登录与注销,系统用户信息变更,系统用户组信息变更等。
  • 用户操作指令信息,如集群的启动、停止,软件升级等。

操作步骤

  • 查看审计日志
    1. 在MRS Manager,单击“审计管理”,可直接查看默认的审计日志。

      若审计日志的审计内容长度大于256字符,请单击审计日志展开按钮展开审计详情,单击“日志文件”,下载完整文件查看信息。

      • 默认以“产生时间”列按降序排列,单击操作类型安全级别、产生时间、用户、主机、服务、实例或操作结果可修改排列方式。
      • 支持在“安全级别”筛选相同级别的全部告警。结果包含已清除和未清除的告警。

      导出的审计日志文件,包含以下信息列:

      • “编号”:表示MRS Manager已生成的审计日志数量,每增加一条审计日志则编号自动加1。
      • “操作类型”:表示用户操作的操作类型,分为“告警”“审计日志”“备份恢复”“集群”“采集日志”“主机”“服务”“多租户”“用户管理”九种场景,其中“用户管理”仅在启用了Kerberos认证的集群中支持。每个场景中包含不同操作类型,例如“告警”中包含“导出告警”“集群”中包含“启动集群”“多租户”包含“增加租户”等。
      • “安全级别”:表示每条审计日志的安全级别,包含“高危”“危险”“一般”“提示”四种。
      • “开始时间”:表示用户操作开始的时间,且时间为时间。
      • “结束时间”:表示用户操作结束的时间,且时间为时间。
      • “用户IP”:表示用户操作时所使用的IP地址。
      • “用户”:表示执行操作的用户名。
      • “主机”:表示用户操作发生在集群的哪个节点。如果操作不涉及节点则不保存信息。
      • “服务”:表示用户操作发生在集群的哪个服务。如果操作不涉及服务则不保存信息。
      • “实例”:表示用户操作发生在集群的哪个角色实例。如果操作不涉及角色实例则不保存信息。
      • “操作结果”:表示用户操作的结果,包含“成功”“失败”“未知”
      • “内容”:表示用户操作的具体执行信息。
    2. 单击“高级搜索”,在审计日志搜索区域中,设置查询条件,单击“搜索”,查看指定类型的审计日志。单击“重置”清除输入的搜索条件。

      “开始时间”“结束时间”表示时间范围的开始时间和结束时间,可以搜索此时间段内产生的告警。

  • 导出审计日志
    1. 在审计日志列表中,单击“导出全部”,导出所有的日志。
    2. 在审计日志列表中,勾选日志信息前的复选框,单击“导出”,导出指定日志。