更新时间:2025-08-09 GMT+08:00

查看MRS集群审计日志

“审计”页面记录用户对集群Manager页面操作信息。管理员可查看用户在Manager上的历史操作记录,审计管理包含的审计内容信息,请参考审计日志

该任务指导用户在MRS Manager查看、导出审计日志工作,用于安全事件中事后追溯、定位问题原因及划分事故责任。

查看审计日志(MRS 3.x及之后版本)

  1. 登录MRS集群Manager界面。

    登录集群Manager界面请参考访问MRS集群Manager

  2. 单击“审计”,界面将展示FusionInsight Manager审计信息,包括操作类型、安全级别、开始时间、结束时间、用户、主机、服务、实例、操作结果等。

    表1 审计信息

    参数

    参数说明

    操作类型

    表示用户在FusionInsight Manager页面执行操作的操作类型,包括“用户管理”、“集群”、“服务”、“告警”、“备份恢复”和“多租户”等场景。

    安全级别

    表示每条审计日志的安全级别,包含“高危”“危险”“一般”“提示”四种。

    开始时间

    表示用户操作开始的时间。

    结束时间

    表示用户操作结束的时间。

    用户

    表示执行操作的用户名。

    主机

    表示执行用户操作的集群节点。

    服务

    表示用户操作涉及的集群服务。

    实例

    表示用户操作涉及的集群角色实例。

    操作结果

    表示用户操作的结果,包含“成功”“失败”“未知”

    图1 审计信息列表
    • 用户可以在“所有安全级别”中选择“高危”“危险”“一般”“提示”级别的审计日志。
    • 在高级搜索中,用户可设置过滤条件来查询审计日志。
      1. “操作类型”中,用户可根据用户管理、集群、服务、健康检查等来指定操作类型查询对应的审计日志。
      2. “服务”中,用户可选择相应的服务来查询审计日志。

        在服务中选择“--”,表示除服务以外其他类型的审计日志。

      3. “操作结果”中,用户可选择所有、成功、失败和未知来查询审计日志。
    • 单击手动刷新当前页面,也可在修改审计表格显示的列。
    • 单击“导出全部”,可一次性导出所有审计信息,可导出“TXT”或者“CSV”格式。

查看审计日志(MRS 3.x之前版本)

  1. 登录MRS集群Manager界面。

    登录集群Manager界面请参考访问MRS集群Manager

  2. 单击“审计管理”,可直接查看默认的审计日志。
  3. 若审计日志的审计内容长度大于256字符,请单击审计日志展开按钮展开审计详情。

    • 默认以“产生时间”列按降序排列,单击操作类型安全级别、产生时间、用户、主机、服务、实例或操作结果可修改排列方式。
    • 支持在“安全级别”筛选相同级别的全部告警。结果包含已清除和未清除的告警。

    导出的审计日志文件,包含表2中的信息列。

    表2 审计日志文件信息介绍

    参数

    参数说明

    编号

    表示MRS Manager已生成的审计日志数量,每增加一条审计日志则编号自动加1。

    操作类型

    表示用户操作的操作类型,分为“告警”“审计日志”“备份恢复”“集群”“采集日志”“主机”“服务”“多租户”“用户管理”九种场景,其中“用户管理”仅在启用了Kerberos认证的集群中支持。每个场景中包含不同操作类型,例如“告警”中包含“导出告警”“集群”中包含“启动集群”“多租户”包含“增加租户”等。

    安全级别

    表示每条审计日志的安全级别,包含“高危”“危险”“一般”“提示”四种。

    开始时间

    表示用户操作开始的时间,且时间为CET或CEST时间。

    结束时间

    表示用户操作结束的时间,且时间为CET或CEST时间。

    用户IP

    表示用户操作时所使用的IP地址。

    用户

    表示执行操作的用户名。

    主机

    表示用户操作发生在集群的哪个节点。如果操作不涉及节点则不保存信息。

    服务

    表示用户操作发生在集群的哪个服务。如果操作不涉及服务则不保存信息。

    实例

    表示用户操作发生在集群的哪个角色实例。如果操作不涉及角色实例则不保存信息。

    操作结果

    表示用户操作的结果,包含“成功”“失败”“未知”

    内容

    表示用户操作的具体执行信息。

  4. 单击“高级搜索”,在审计日志搜索区域中,设置查询条件,单击“搜索”,查看指定类型的审计日志。单击“重置”清除输入的搜索条件。

    “开始时间”“结束时间”表示时间范围的开始时间和结束时间,可以搜索此时间段内产生的告警。

  5. 在审计日志列表中,单击“导出全部”,导出所有的日志。
  6. 在审计日志列表中,勾选日志信息前的复选框,单击“导出”,导出指定日志。

相关文档

  • MRS集群组件的审计日志按名称分类,保存在集群各节点“/var/log/Bigdata/audit”目录下,可修改OMS备份的相关审计日志文件最大保留个数,具体操作请参见配置MRS集群审计日志本地备份数
  • 可将Manager的审计日志保存到其他归档服务器,便于管理审计日志信息,具体操作请参见配置MRS集群审计日志转储