查看及导出审计日志

操作场景

该任务指导用户在MRS Manager查看、导出审计日志工作，用于安全事件中事后追溯、定位问题原因及划分事故责任。

系统记录的日志信息包含：

• 用户活动信息，如用户登录与注销，系统用户信息变更，系统用户组信息变更等。
• 用户操作指令信息，如集群的启动、停止，软件升级等。

操作步骤

• 查看审计日志
  1. 在MRS Manager，单击“审计管理”，可直接查看默认的审计日志。

     若审计日志的审计内容长度大于256字符，请单击审计日志展开按钮展开审计详情。

     • 默认以“产生时间”列按降序排列，单击操作类型、安全级别、产生时间、用户、主机、服务、实例或操作结果可修改排列方式。
     • 支持在“安全级别”筛选相同级别的全部告警。结果包含已清除和未清除的告警。

     导出的审计日志文件，包含以下信息列：

     • “编号”：表示MRS Manager已生成的审计日志数量，每增加一条审计日志则编号自动加1。
     • “操作类型”：表示用户操作的操作类型，分为“告警”、“审计日志”、“备份恢复”、“集群”、“采集日志”、“主机”、“服务”、“多租户”和“用户管理”九种场景，其中“用户管理”仅在启用了Kerberos认证的集群中支持。每个场景中包含不同操作类型，例如“告警”中包含“导出告警”，“集群”中包含“启动集群”，“多租户”包含“增加租户”等。
     • “安全级别”：表示每条审计日志的安全级别，包含“高危”、“危险”、“一般”和“提示”四种。
     • “开始时间”：表示用户操作开始的时间，且时间为CET或CEST时间。
     • “结束时间”：表示用户操作结束的时间，且时间为CET或CEST时间。
     • “用户IP”：表示用户操作时所使用的IP地址。
     • “用户”：表示执行操作的用户名。
     • “主机”：表示用户操作发生在集群的哪个节点。如果操作不涉及节点则不保存信息。
     • “服务”：表示用户操作发生在集群的哪个服务。如果操作不涉及服务则不保存信息。
     • “实例”：表示用户操作发生在集群的哪个角色实例。如果操作不涉及角色实例则不保存信息。
     • “操作结果”：表示用户操作的结果，包含“成功”、“失败”和“未知”。
     • “内容”：表示用户操作的具体执行信息。
  2. 单击“高级搜索”，在审计日志搜索区域中，设置查询条件，单击“搜索”，查看指定类型的审计日志。单击“重置”清除输入的搜索条件。
     

     “开始时间”和“结束时间”表示时间范围的开始时间和结束时间，可以搜索此时间段内产生的告警。

• 导出审计日志
  1. 在审计日志列表中，单击“导出全部”，导出所有的日志。
  2. 在审计日志列表中，勾选日志信息前的复选框，单击“导出”，导出指定日志。