查看MRS集群审计日志
“审计”页面记录用户对集群Manager页面操作信息。管理员可查看用户在Manager上的历史操作记录,审计管理包含的审计内容信息,请参考审计日志。
该任务指导用户在MRS Manager查看、导出审计日志工作,用于安全事件中事后追溯、定位问题原因及划分事故责任。
查看审计日志(MRS 3.x及之后版本)
- 登录MRS集群Manager界面。
登录集群Manager界面请参考访问MRS集群Manager。
- 单击“审计”,界面将展示FusionInsight Manager审计信息,包括操作类型、安全级别、开始时间、结束时间、用户、主机、服务、实例、操作结果等。
表1 审计信息 参数
参数说明
操作类型
表示用户在FusionInsight Manager页面执行操作的操作类型,包括“用户管理”、“集群”、“服务”、“告警”、“备份恢复”和“多租户”等场景。
安全级别
表示每条审计日志的安全级别,包含“高危”、“危险”、“一般”和“提示”四种。
开始时间
表示用户操作开始的时间。
结束时间
表示用户操作结束的时间。
用户
表示执行操作的用户名。
主机
表示执行用户操作的集群节点。
服务
表示用户操作涉及的集群服务。
实例
表示用户操作涉及的集群角色实例。
操作结果
表示用户操作的结果,包含“成功”、“失败”和“未知”。
图1 审计信息列表
- 用户可以在“所有安全级别”中选择“高危”、“危险”、“一般”和“提示”级别的审计日志。
- 在高级搜索中,用户可设置过滤条件来查询审计日志。
- 在“操作类型”中,用户可根据用户管理、集群、服务、健康检查等来指定操作类型查询对应的审计日志。
- 在“服务”中,用户可选择相应的服务来查询审计日志。
在服务中选择“--”,表示除服务以外其他类型的审计日志。
- 在“操作结果”中,用户可选择所有、成功、失败和未知来查询审计日志。
- 单击
手动刷新当前页面,也可在
修改审计表格显示的列。 - 单击“导出全部”,可一次性导出所有审计信息,可导出“TXT”或者“CSV”格式。
查看审计日志(MRS 3.x之前版本)
- 登录MRS集群Manager界面。
登录集群Manager界面请参考访问MRS集群Manager。
- 单击“审计管理”,可直接查看默认的审计日志。
- 若审计日志的审计内容长度大于256字符,请单击审计日志展开按钮展开审计详情。
- 默认以“产生时间”列按降序排列,单击操作类型、安全级别、产生时间、用户、主机、服务、实例或操作结果可修改排列方式。
- 支持在“安全级别”筛选相同级别的全部告警。结果包含已清除和未清除的告警。
导出的审计日志文件,包含表2中的信息列。
表2 审计日志文件信息介绍 参数
参数说明
编号
表示MRS Manager已生成的审计日志数量,每增加一条审计日志则编号自动加1。
操作类型
表示用户操作的操作类型,分为“告警”、“审计日志”、“备份恢复”、“集群”、“采集日志”、“主机”、“服务”、“多租户”和“用户管理”九种场景,其中“用户管理”仅在启用了Kerberos认证的集群中支持。每个场景中包含不同操作类型,例如“告警”中包含“导出告警”,“集群”中包含“启动集群”,“多租户”包含“增加租户”等。
安全级别
表示每条审计日志的安全级别,包含“高危”、“危险”、“一般”和“提示”四种。
开始时间
表示用户操作开始的时间,且时间为CET或CEST时间。
结束时间
表示用户操作结束的时间,且时间为CET或CEST时间。
用户IP
表示用户操作时所使用的IP地址。
用户
表示执行操作的用户名。
主机
表示用户操作发生在集群的哪个节点。如果操作不涉及节点则不保存信息。
服务
表示用户操作发生在集群的哪个服务。如果操作不涉及服务则不保存信息。
实例
表示用户操作发生在集群的哪个角色实例。如果操作不涉及角色实例则不保存信息。
操作结果
表示用户操作的结果,包含“成功”、“失败”和“未知”。
内容
表示用户操作的具体执行信息。
- 单击“高级搜索”,在审计日志搜索区域中,设置查询条件,单击“搜索”,查看指定类型的审计日志。单击“重置”清除输入的搜索条件。
“开始时间”和“结束时间”表示时间范围的开始时间和结束时间,可以搜索此时间段内产生的告警。
- 在审计日志列表中,单击“导出全部”,导出所有的日志。
- 在审计日志列表中,勾选日志信息前的复选框,单击“导出”,导出指定日志。
相关文档
- MRS集群组件的审计日志按名称分类,保存在集群各节点“/var/log/Bigdata/audit”目录下,可修改OMS备份的相关审计日志文件最大保留个数,具体操作请参见配置MRS集群审计日志本地备份数。
- 可将Manager的审计日志保存到其他归档服务器,便于管理审计日志信息,具体操作请参见配置MRS集群审计日志转储。
