文档中心

云堡垒机CBH用户指南（下）

最近更新时间：

9 审计

9.1 实时会话

9.1.1 实时会话列表

(1) 选择“审计 > 实时会话”，进入实时会话界面。

(2) 实时会话支持两种搜索方式：

· 普通搜索：单击搜索项，弹出搜索项下拉列表，可使用资源名称、资源账户、用户、来源IP 进行搜索。

· 高级搜索：单击“高级搜索”，会弹出高级搜索搜索框。可使用“资源名称、资源账户、用户、来源 IP、主机地址、起始时间、截止时间、会话时长范围、操作指令、双人授权、双人授权用户、会话协同和会话协同用户”进行搜索。

说明

列表可使用协议类型进行筛选,可使用开始时间和会话时长进行排序。

• 单击“详情”，进入对应会话详情页面。

• 单击“监控”，进入实时会话监控页面。

• 单击“中断”，中断对应会话；单击列表下方的“中断”，可以批量中断所有选中的会话。

9.1.2 实时监控

(1) 选择“审计 > 实时会话”，进入实时会话界面。

(2) 单击“监控”，进入实时会话监控界面。

(3) 字符协议实时监控：

· 监控页面右上方展示会话相关信息：资源名称、主机类型、主机地址、资源账户、运维用户、开始时间。

· “运维记录”中展示运维用户操作指令的记录，可用命令进行查询，可用允许执行、动态授权、拒绝执行进行筛选。

· “文件传输”中展示运维用户上传文件、下载文件、创建文件夹、重命名文件(夹)、删除文件(夹)的操作，可用文件(夹)名称进行查询，可用上传文件、下载文件、创建文件夹、重命名文件(夹)、删除文件(夹)进行筛选。

· “参与用户”中展示监控用户和协同用户的登录名、姓名、开始监控(协同)时间。

· 下方工具栏中，单击“截屏”，将页面截屏并保存为 PNG 格式下载；单击“中断”，中断当前会话；单击“全屏”，页面变为全屏显示。

注意：

SSH 客户端实时监控无监控文件传输与参与用户。

(4) 图形协议实时会话监控：

· 监控页面右上方展示会话相关信息：资源名称、主机类型、主机地址、应用参数、资源账户、运维用户、开始时间。

· “运维记录”中展示键盘输入和剪贴板复制粘贴操作，可用键盘输入、剪切板内容、OCR-窗口、OCR-菜单、OCR-文字进行查询，可用键盘输入、剪切板进行筛选。

· “文件传输”中展示上传文件、下载文件、创建文件夹、重命名文件(夹)、删除文件(夹)，可用文件(夹)名称进行查询，可用上传文件、下载文件、创建文件夹、重命名文件

(夹)、删除文件(夹)进行筛选。

· “参与用户”中展示监控用户和协同用户的登录名、姓名、开始监控(协同)时间。

· 下方工具栏中，单击“截屏”，将页面截屏并保存为 PNG 格式下载；单击“中断”，中断当前会话；单击“全屏”，页面变为全屏显示。

· “鼠标左键”、“鼠标中键”、“鼠标右键”、“Control 键”“Shift 键”、“Alt 键”等，当运维用户点击对应按键时，相应的图标会亮起。

注意：

• 应用参数仅当登录应用资源时显示，数据库应用时，展示：数据库 IP:端口；非数据库应用，展示：启动参数。

• OCR 类型运维记录需在系统-系统配置-审计配置中配置正确的 OCR 服务器地址并启用后，才会记录。

• OCR 类型运维记录由于识别较慢，不能在监控中实时显示记录。

• 目前 OCR 类型运维记录只记录 OCR-文字类型。

• 数据库类型主机不支持监控功能。

9.1.3 会话详情

(1) 选择“审计 > 实时会话”，进入实时会话界面。

(2) 单击“详情”进入对应实时会话详情界面。

a. 字符协议会话详情界面。

− 单击“监控”进入实时会话监控页面。

− 单击“中断”中断此会话。

− 资源会话信息：展示资源名称、协议类型、主机地址、资源账户、开始时间、会话时长、双人授权用户、双人授权时间。

− 系统会话信息：展示用户登录名、来源 IP、来源 MAC、登录时间、会话时长、认证类型、多因子认证、登录方式。

− 运维记录：展示用户执行的操作指令，单击“展开”后，展示字符命令输出结果。可使用用户登录名、操作指令进行查询；可使用时间进行排序；可用执行动作进行筛选。

− 数据库协议-运维记录：展示用户执行的操作指令。单击“展开”后，展示字符命令输出结果。可使用用户登录名、操作指令进行查询；可使用时间进行排序；可用执行动作进行筛选。

− 文件传输：展示用户对文件进行的操作。可用文件名称、来源路径、目标路径进行搜索；可用时间、文件大小、传输时间进行搜索；可用类型、结果进行筛选。

− 会话协同：展示会话中产生协同会话的信息。可用用户登录名进行查询；可用加入时间、退出时间进行排序。

b. 图形协议会话详情页面。

− 资源会话信息：展示资源名称、协议类型、主机地址、数据库 IP，数据库端口，数据库名，启动参数，资源账户、开始时间、会话时长、双人授权用户、双人授权时间。

− 系统会话信息：展示用户登录名、来源 IP、来源 MAC、登录时间、会话时长、认证类型、多因子认证、登录方式。

注意：

• 当资源为应用发布时，主机地址隐藏。

• 当资源为主机或非数据库应用时，数据库 IP、数据库端口、数据库名隐藏。

• 当资源为主机或数据库应用时，启动参数隐藏。

− 运维记录：默认展示用户键盘输入和剪切板复制粘贴，开启 OCR 配置后，才可记录OCR 类型运维记录。可使用用户登录名、操作指令进行查询；可使用时间进行排序；可用类型进行筛选。

− 文件传输、会话协同展示与字符协议会话详情类似。

− 资源会话信息：展示资源名称、协议类型、主机地址、资源账户、开始时间、会话时长、双人授权用户、双人授权时间。

− 系统会话信息：展示用户登录名、来源 IP、来源 MAC、登录时间、会话时长、认证类型、多因子认证、登录方式。

9.2 历史会话

9.2.1 历史会话列表

(1) 选择“审计 > 历史会话”，进入历史会话界面。

(2) 单击搜索项弹出搜索项下拉列表；单击“高级搜索”弹出高级搜索搜索框，可使用资源名称、资源账户、用户、来源 IP、主机地址、起始时间、截止时间、会话时长范围、操作指令、双人授权、双人授权用户、会话协同、会话协同用户进行搜索。

(3) 单击“详情”进入历史会话详情页面；单击“播放”进入历史会话播放页面；单击“下载”下载 M4V 格式的审计视频文件；单击“导出”导出 XLSX 格式历史会话记录。

(4) 使用类型和结束状态进行列表筛选；使用起止时间、会话时长进行列表排序。

注意：

• 当登录方式为 SSH 客户端时，无法下载审计视频文件。

• 当协议为文件传输协议时，无法播放和下载审计文件。

• 当协议类型为数据库时，无法播放和下载审计文件。

9.2.2 历史会话播放

可以播放不同资源（包括图形协议主机或者应用发布资源）的历史会话。

(1) 选择“审计 > 历史会话”，进入历史会话界面。

(2) 单击“播放”，进入历史会话播放界面。

a. 字符协议历史会话播放界面。

− 运维记录：展示运维用户操作指令的记录，可用命令进行查询，可用允许执行、动态授权、拒绝执行进行筛选；单击“定位”后，可定位到当前操作指令进行播放。

− 文件传输：展示运维用户上传文件、下载文件、创建文件夹、重命名文件(夹)、删除文件(夹)的操作，可用文件(夹)名称进行查询，可用上传文件、下载文件、创建文件夹、重命名文件(夹)、删除文件(夹)进行筛选。

− 参与用户：展示监控用户和协同用户的登录名、姓名、开始监控(协同)时间。

− 下方工具栏中，单击“截屏”，将页面截屏并保存为 PNG 格式下载；单击“播放列表”，右侧切换为播放列表；单击“全屏”，页面变为全屏显示。单击“暂停/播放”，暂停或播放视频；单击“上一个”，播放上一个视频；单击“下一个”，播放下一个视频；单击“播放速度”，选择播放速度，包括：正常速度、2X 速度、4X 速度、8X 速度、16X 速度。“播放时间”显示格式为当前时间/会话时长。

b. 图形协议历史会话播放界面。

− 监控页面右上方展示会话相关信息：资源名称、主机类型、主机地址、应用参数、资源账户、运维用户、开始时间。

− 运维记录：展示键盘输入、剪贴板复制粘贴、OCR-窗口、OCR-菜单、OCR-文字等记录，可用键盘输入、剪切板内容、OCR 识别内容进行查询，可用键盘输入、剪切板、OCR-窗口、OCR-菜单、OCR-文字进行筛选；单击“定位”后，可定位到当前操作指令进行播放。

− 文件传输：展示上传文件、下载文件、创建文件夹、重命名文件(夹)、删除文件(夹)，可用文件(夹)名称进行查询，可用上传文件、下载文件、创建文件夹、重命名文件(夹)、删除文件(夹)进行筛选。

− 参与用户：展示监控用户和协同用户的登录名、姓名、开始监控(协同)时间。

− 下方工具栏中，单击“截屏”，将页面截屏并保存为 PNG 格式下载；单击“播放列表”，右侧切换为播放列表；单击“全屏”，页面变为全屏显示。鼠标左键、鼠标中键、鼠标右键、Control 键、Shift 键、Alt 键等，当当前时间运维用户单击对应按键时，相应的会亮起。单击“暂停/播放”，暂停或播放视频；单击“上一个”，播放上一个视频；单击“下一个”，播放下一个视频；单击“播放速度”，选择播放速度，包括：正常速度、2X 速度、4X 速度、8X 速度、16X 速度。“播放时间”显示格式为当前时间/会话时长。

9.2.3 历史会话详情

(1) 选择“审计 > 历史会话”，进入历史会话界面。

(2) 单击“详情”，进入历史会话详情界面。

a. 字符协议历史会话详情。

− 资源会话信息：展示资源名称、协议类型、主机地址、资源账户、起止时间、会话时长、会话大小、双人授权用户、双人授权时间。

− 系统会话信息：展示用户登录名、来源 IP、来源 MAC、起止时间、会话时长、认证类型、多因子认证、登录方式。

注意：

• 当未进行双人授权时，资源会话信息中双人授权用户和双人授权时间隐藏。

• 会话大小中显示的大小为日志文件大小而非下载的视频文件大小。

− 运维记录：展示用户执行的操作指令。单击“展开”后，展示字符命令输出结果。可使用用户登录名、操作指令进行查询；单击“播放”后，跳转到历史会话播放页面，定位当前操作开始播放视频。可使用时间进行排序；可用执行动作进行筛选。

− 文件传输、会话协同列表与实时会话字符协议详情类似。

b. 图形协议历史会话详情。

− 系统会话信息：展示用户登录名、来源 IP、来源 MAC、登录时间、会话时长、认证类型、多因子认证、登录方式。

− 运维记录：展示用户键盘输入、剪切板复制粘贴、OCR 识别记录。单击“播放”后，跳转到历史会话播放页面，定位当前操作开始播放视频。可使用用户登录名、操作指令进行查询；可使用时间进行排序；可用类型进行筛选。

− 文件传输、会话协同展示与字符协议会话详情类似。

c. 文件传输协议历史会话详情。

− 资源会话信息：展示资源名称、协议类型、主机地址、资源账户、起止时间、会话时长、会话大小、双人授权用户、双人授权时间。

− 系统会话信息：展示用户登录名、来源 IP、来源 MAC、起止时间、会话时长、认证类型、多因子认证、登录方式。

− 文件传输：列表与字符协议历史会话详情类似。

9.2.4 历史会话导出

选择“审计 > 历史会话”，进入历史会话界面。单击“导出”可以导出全部 XLSX 格式历史会话记录；选中会话后单击“导出”，可以导出全部选中会话。

9.3 系统日志

9.3.1 系统登录日志

系统登录日志记录用户登录云堡垒机的日志信息。

(1) 选择“审计 > 系统日志 > 系统登录日志”，进入系统登录日志界面。

(2) 单击“导出”导出全部 XLSX 格式系统登录日志；选中日志后单击“导出”，则导出全部选中的日志。可用时间进行列表排序；可用登录方式、结果进行筛选。

(3) 单击搜索项，弹出搜索项下拉列表，可使用用户、来源 IP、日志内容进行搜索；单击“高级搜索”，弹出高级搜索框，可用用户、来源 IP、日志内容、备注进行搜索。

9.3.2 系统操作日志

系统操作日志记录用户在云堡垒机中的各种操作日志。

(1) 选择“审计 > 系统日志 > 系统操作日志”，进入系统操作日志界面。

(2) 单击“导出”，导出全部 XLSX 格式系统操作日志；选中日志后单击“导出”，则导出全部选中日志。可用时间进行列表排序；可用模块、结果进行筛选。

(3) 单击搜索项，弹出搜索项下拉列表，可使用用户、来源 IP、日志内容进行搜索。单击“高级搜索”，弹出高级搜索搜索框，可用用户、来源 IP、日志内容、备注进行搜索。

9.4 运维报表

9.4.1 运维时间分布

统计在 1 天（24 小时）范围内，用户登录资源情况分布或资源被登录分布情况。

(1) 选择“审计 > 运维报表 > 运维时间分布”，进入运维时间界面。

(2) 查看分布图：

· 单击“折线图”图标切换为折线图显示，单击“堆积图”图标切换为堆积图显示。

· 单击“用户”图标切换为显示用户，单击“资源”图标切换为显示资源。

· 报表左上方可选择对应用户或对应资源，选择后一条折线(或色块)对应一个用户(或资源)。

· 单击“日期范围”可选择报表统计的日期范围，最大可选择 180 天。

(3) 查看详细数据：展示会话起止时间、用户登录名、协议类型、资源账户。

9.4.2 资源访问次数

资源访问次数统计用户(或资源)所属历史会话的数量，按会话开始时间统计。

(1) 选择“审计 > 运维报表 > 资源访问次数”。

(2) 查看趋势图：

· 单击“折线图”图标切换为折线图显示，单击“堆积图”图标切换为堆积图显示。

· 单击“用户”图标切换为显示用户，单击“资源”图标切换为显示资源。

· 报表左上方可选择对应用户或对应资源，选择后一条折线(或色块)对应一个用户(或资源)；单击图例，切换对应报表的显示或隐藏，同时切换对应详细数据的显示或隐藏。

· 单击“日期范围”可选择报表统计的日期范围，最大可选择 180 天。当所选日志范围为 2天到 30 天时，可选展示粒度为按天与按周；当所选日志范围为 31 天到 180 天时，可选展示粒度为按周与按月。

(3) 查看“详细数据”，展示与运维时间分布类似。

9.4.3 会话时长

会话时长统计用户(或资源)所属历史会话的会话时长。

(1) 选择“审计 > 运维报表 > 会话时长”，操作与资源访问次数类似。

(2) 查看“详细数据”，展示会话起止时间、用户登录名、协议类型、资源账户、会话时长。

9.4.4 来源 IP 访问数

来源 IP 访问数统计用户(或资源)所属会话的不同来源 IP 数量。

(1) 选择“审计 > 运维报表 > 来源 IP 访问数”，进入来源 IP 访问数界面。操作与资源访问次数类似。

(2) “详细数据”展示会话起止时间、用户登录名、资源名称、协议类型、资源账户、来源 IP。

9.4.5 会话协同

会话协同统计用户(或资源)所属会话的会话协同参与用户数量。

(1) 选择“审计 > 运维报表 > 会话协同”，进入会话协同界面。操作与资源访问次数类似。

(2) “详细数据”展示会话起止时间、用户登录名、资源名称、协议类型、资源账户、协同用户。

9.4.6 双人授权

双人授权统计用户(或资源)进行双人授权的数量。

(1) 选择“审计 > 运维报表 > 双人授权”。操作与资源访问次数类似。

(2) “详细数据”展示双人授权用户授权时间、运维用户登录名、资源名称、协议类型、资源账户、双人授权用户登录名。

9.4.7 命令拦截

命令拦截统计用户(或资源上)触发的拦截命令（断开连接、拒绝执行和动态授权）的命令数量。

(1) 选择“审计 > 运维报表 > 命令拦截”，进入命令拦截界面。

(2) 单击“动作”图标，切换统计对象为执行动作，展示为饼图。单击图例，切换对应报表的显示或隐藏，同时切换对应详细数据的显示或隐藏。其他操作与资源访问次数类似。

(3) “详细数据”显示为操作指令执行时间、用户登录名、资源名称、协议类型、资源账户、操作指令、执行动作。

9.4.8 字符命令数

字符命令数统计用户(或资源上)执行的字符命令数量。

(1) 选择“审计 > 运维报表 > 字符命令数”，进入字符命令数界面。操作与资源访问次数类似。

(2) “详细数据”中展示操作指令执行时间、用户登录名、协议类型、资源账户、操作指令。

9.4.9 传输文件数

传输文件数统计用户(或资源上)上传、下载文件的数量。

(1) 选择“审计 > 运维报表 > 传输文件数”，进入传输文件数界面。操作与资源访问次数类似。

(2) “详细数据”中展示文件操作时间、用户登录名、资源名称、协议类型、资源账户、操作类型、文件名称。

9.4.10 报表自动发送

选择“审计 > 运维报表”，进入运维列表界面。单击“报表自动发送”，弹出报表自动发送弹窗。

说明：

默认关闭，设置定时发送后，会在所选中的发送周期中发送对应报表到当前用户邮箱（需要在系统中配置了发送邮箱）。其中，每日发送的报表中展示粒度为按小时；每周发送的报表中展示粒度为按天；每月发送的报表中展示粒度为按周。

9.4.11 报表导出

选择“审计 > 运维报表”，进入运维列表界面。单击“报表导出”，弹出报表导出弹窗。

说明：

可选展示粒度为按小时、按天、按周、按月；起止时间设置报表统计的日期范围；报表类型设置导出的报表；文件格式设置导出的报表的文件格式。

9.5 系统报表

9.5.1 用户控制

用户控制统计启用和禁用用户操作。

(1) 选择“审计 > 系统报表 > 用户控制”，进入用户控制界面。

(2) 单击图例，切换对应报表的显示或隐藏，同时切换对应详细数据的显示或隐藏。

(3) 单击“日期范围”可选择报表统计的日期范围，最大可选择 180 天。当所选日志范围为 2 天到 30 天时，可选展示粒度为按天与按周；当所选日志范围为 31 天到 180 天时，可选展示粒度为按周与按月。

(4) “详细数据”显示操作时间、操作用户登录名、来源 IP、操作、操作结果。

9.5.2 用户与资源操作

用户与资源操作统计用户、用户组、主机、应用、应用服务器、资源账户、账户组的新建和删除操作。

(1) 选择“审计 > 系统报表 > 用户与资源操作”，进入用户与资源操作界面。

(2) 单击图例，切换对应报表的显示或隐藏，同时切换对应详细数据的显示或隐藏。

(3) 单击“日期范围”可选择报表统计的日期范围，最大可选择 180天。

(4) “详细数据”显示操作时间、操作用户登录名、来源 IP、操作、操作结果。

9.5.3 用户源 IP 数

用户源 IP 数统计用户登录云堡垒机的不同来源 IP 数量。

(1) 选择“审计 > 系统报表 > 用户源 IP 数”，进入用户源 IP 数界面。

(2) 单击图例，切换对应报表的显示或隐藏，同时切换对应详细数据的显示或隐藏。

(3) 单击“统计用户”，选择统计用户数量，包含 Top5（默认）、Top10、Top20。

(4) 单击“日期范围”可选择报表统计的日期范围，最大可选择 180 天。

(5) “详细数据”显示用户登录时间、用户登录名、来源 IP、操作、操作结果。

9.5.4 用户登录方式

用户登录方式统计用户登录云堡垒机的登录方式（Web 页面、SSH 客户端、FTP 客户端、SFTP客户端）。

(1) 选择“审计 > 系统报表 > 用户登录方式”，进入用户登录方式界面。

(2) 单击图例，切换对应报表的显示或隐藏，同时切换对应详细数据的显示或隐藏。

(3) 单击“日期范围”可选择报表统计的日期范围，最大可选择 180 天。

(4) “详细数据”显示用户登录时间、用户登录名、来源 IP、操作、操作结果。

9.5.5 异常登录

异常登录统计用户的异常登录次数。

(1) 选择“审计 > 系统报表 > 异常登录”，进入异常登录界面。

(2) 单击图例，切换对应报表的显示或隐藏，同时切换对应详细数据的显示或隐藏。

(3) 单击“统计用户”，选择统计用户数量，包含 Top5（默认）、Top10、Top20。

(4) 单击“日期范围”可选择报表统计的日期范围，最大可选择 180 天。

(5) “详细数据”显示用户登录时间、用户登录名、来源 IP、操作、操作结果。

9.5.6 会话控制

会话控制统计中断和监控会话数量。

(1) 选择“审计 > 系统报表 > 会话控制”，进入会话控制界面。

(2) 单击图例，切换对应报表的显示或隐藏，同时切换对应详细数据的显示或隐藏。

(3) 单击“日期范围”可选择报表统计的日期范围，最大可选择 180 天。

(4) “详细数据”显示用户登录时间、用户登录名、来源 IP、操作、操作结果。

9.5.7 用户状态

用户状态用于展示僵尸账户和密码强度。其中僵尸账户是指当前未登录时间超过 14 天的已生效用户；密码强度则是对云堡垒机内用户密码强度的划分，分为高、中、低三个等级。

(1) 选择“审计 > 系统报表 > 用户状态”，进入用户状态界面。

(2) 僵尸账户中，选择统计用户数量，包含:Top5（默认）、Top10、Top20。

(3) 密码强度中，单击图例，切换对应报表的显示或隐藏，同时切换对应详细数据的显示或隐藏。

(4) “僵尸账户 > 详细数据”显示用户上一次成功登录的时间、用户登录名、来源 IP、操作、操作结果。

(5) “密码强度 > 详细数据”显示上一次改密的用户登录名、密码强度、上次改密时间，以密码强度由低至高排列。

注意：

密码强度的划分具体按照以下规则：

• 高：8 位及以上，包含大写字母、小写字母、数字、特殊字符。

• 中：8 位及以上，包含大写字母、小写字母、数字、特殊字符中的两种或三种。

• 低：8 位及以上，包含大写字母、小写字母、数字、特殊字符中的一种，或 8 位以下。

9.5.8 报表自动发送

选择“审计 > 系统报表”，进入系统报表界面。单击“报表自动发送”，弹出报表自动发送弹窗。操作与运维报表的报表自动发送类似。

9.5.9 报表导出

选择“审计 > 系统报表”，进入系统报表界面。单击“报表导出”，弹出报表导出弹窗。操作与运维报表的报表导出类似。

意见反馈

文档内容是否对您有帮助？

如您有其他疑问，您也可以通过在线客服来与我们联系探讨在线客服