更新时间:2024-08-08 GMT+08:00
分享

审计与日志

审计

云堡垒机系统用户个人数据的所有操作,包括增加、修改、查询和删除,云堡垒机系统都会记录审计日志,并可备份到远程服务器或本地电脑。拥有审计权限用户可以查看并管理下级管理部门用户账号的日志,系统管理员Admin拥有系统最高权限,可查看并管理登录系统全部用户账号操作记录。

基于用户身份系统唯一标识,从用户登录系统开始,全程记录用户在系统的操作行为,监控和审计用户对目标资源的所有操作,实现对安全事件的实时发现与预警:

表1 云堡垒机审计功能特性

功能特性

功能详情

系统行为审计

系统操作行为全纪录,针对操作失误、恶意操作、越权操作等行为告警通知。

  • 系统登录日志

详细记录登录系统的方式、登录用户、用户来源IP、登录时间等信息。支持一键导出全部系统登录日志。

  • 系统操作日志

系统操作行为全程记录,覆盖所有系统操作事件。支持一键导出全部系统操作日志。

  • 系统报表

集中可视化呈现用户在系统的操作统计信息,包括用户启用状态、用户与资源创建、用户登录方式、异常登录、会话控制等信息。

支持一键导出系统报表,并可定周期以邮件方式自动推送系统报表。

  • 告警通知

通过配置系统告警,针对系统操作和系统环境制定不同告警方式和告警级别,以邮件方式和系统消息方式推送告警通知,以便及时发现系统异常和用户异常操作。

资源运维审计

全程记录用户的运维操作,支持多种运维审计技术和审计形式,可随时审计用户操作行为,识别运维风险,为安全事件追溯和分析提供依据。

  • 运维审计技术

Linux命令审计

基于字符协议(SSH、TELNET)的命令操作审计,记录命令运维全程,支持解析字符操作命令,还原操作指令,根据输入、输出结果关键字搜索快速定位回放。

  • Windows操作审计

基于图形协议(RDP、VNC)终端和应用发布的行为操作审计,远程桌面的操作全纪录,包括键盘操作、功能键操作、鼠标操作、窗口指令、窗口切换、剪切板拷贝等。

  • 数据库命令审计

基于数据库协议(DB2、MySQL、Oracle、SQL Server)的命令操作审计,记录从SSO单点登录数据库到数据库命令操作全程,支持解析数据库操作指令,100%还原操作指令。

  • 文件传输审计

基于远程桌面的文件传输操作审计,以及基于文件传输协议(FTP、SFTP、SCP)的传输操作审计,对Web浏览器或客户端文件传输全程审计,记录传输的文件名称和目标路径。

  • 运维审计形式

实时监控

实时查看正在进行的运维会话,支持监控和中断实时会话。

  • 历史日志

运维操作全程记录,详细记录历史运维会话信息,支持一键导出历史会话日志。

  • 会话视频

支持对Linux命令审计、Windows操作审计全程录像记录,回放录像视频。

支持生成视频文件,一键下载会话视频。

  • 运维报表

集中可视化呈现运维统计信息,包括运维时间分布、资源访问次数、会话时长、双人授权、命令拦截、字符数命令、传输文件数等信息。

支持一键导出运维报表,并可定周期以邮件方式自动推送系统报表。

  • 日志备份

通过配置日志备份,可将历史会话日志远程备份至Syslog服务器、FTP/SFTP服务器、OBS桶,实现系统日志容灾备份。

日志

堡垒机本身支持管理改密日志、执行日志、查看系统日志和审计运维日志功能。

同时堡垒机实例内已对接云日志服务(Log Tank Service,简称LTS),可以向用户提供日志收集、分析、存储等服务。用户可以通过云日志服务快速高效地进行设备运维管理、用户业务趋势分析、安全监控审计等操作。

LTS的详细介绍和开通配置方法,请参见配置LTS日志外发功能。

日志记录

云堡垒机系统用户个人数据的所有操作,包括增加、修改、查询和删除,云堡垒机系统都会记录审计日志,并可备份到远程服务器或本地电脑。拥有审计权限用户可以查看并管理下级管理部门用户账号的日志,系统管理员Admin拥有系统最高权限,可查看并管理登录系统全部用户账号操作记录。

相关文档