文本审计

操作场景

运维员每次通过堡垒机登录资源运维结束后，都会生成一个历史会话，记录其具体的运维操作。审计员可以通过查看这些历史会话，来判断运维员在运维过程中是否存在违规操作。

文本审计为对运维人员通过堡垒机登录资源运维的操作，生成可查询的详细文本数据，审计员可以在线查看记录或一键导出历史会话记录。

约束与限制

支持文本审计的资源类型，请参见审计形式。

前提条件

当前用户所属角色已拥有“历史会话”模块的管理权限，如何查看各角色的权限，请参见角色。

搜索并查看历史会话记录

1. 登录堡垒机系统。
2. 在左侧导航栏，选择“审计 > 历史会话”，进入历史会话列表页面。
   图1 历史会话列表
   

3. 配置搜索条件，筛选历史会话。
   图2 配置历史会话搜索条件
   
   • 普通搜索

     在左侧下拉框中选择搜索属性，可选择资源名称、资源账户、用户、来源IP，在搜索框中输入关键字，单击或按“Enter”。

   • 高级搜索

     单击“高级搜索”，展开全部高级搜索属性，在相应属性搜索框中分别输入关键字，单击“搜索”。

4. 查看历史会话详情。

   单击目标历史会话“操作”列的“详情”，进入历史会话详情页面，可以分别查看资源会话信息、系统会话信息、运维操作记录、文件传输记录、会话协同记录等信息。

   图3 历史会话详情
   

导出历史会话记录

审计员可以导出历史会话记录，离线审计历史会话。

1. 登录堡垒机系统。
2. 在左侧导航栏，选择“审计 > 历史会话”，进入历史会话列表页面。
   图4 历史会话列表
   

3. （可选）勾选一个或多个历史会话；若未勾选，则默认导出全量历史会话。
4. 在右上方单击，创建下载任务。
5. 单击“去下载中心”，进入到下载任务列表。
6. 当下载任务的打包进度为100%时，单击“操作”列的“下载”，下载文件到本地，打开本地文件，即可查看导出的历史会话信息。
   图5 下载