碉堡堡垒机运维操作审计员手册Word文档格式.docx

1、2.1.3实时审计 52.1.4切断实时会话 62.1.5会话的筛选与查询 72.1.6导出Excel 72.2 字符会话的审计. 82.2.1字符会话记录内容详解 82.2.2字符会话审计范例 92.2.3已结束的字符会话的审计 92.2.4如何监控活动的字符会话 102.2.5如何中断活动的字符会话 102.2.6字符会话的查询筛选 11第1章 概述本手册为“碉堡堡垒机”（以下简称“碉堡”）运维操作审计员手册，可以作为运维操作审计员技术手册参考资料。1.1 手册阅读附加说明红色字体表示操作中的关键点，例如：用户管理添加用户填写信息意为：先点击“用户管理连接”，在出现的页面中再点击“添加用户

2、连接”，在出现的页面中“填写信息”；带下划线的文字表示用户特别需要注意的内容，一般为注意事、提示和建议；1.2 适用版本本手册依据“碉堡内控堡垒主机”V1.0撰写，适用于所有1.0分支版本。第2章 对设备操作的审计审计管理员对目标设备操作的审计针对于所有用户对设备进行的访问、操作。因用户对目标设备的操作分为图形方式和命令（字符）方式，所以审计管理员对各种操作的审计也分为图形会话审计和字符会话审计，而对于数据库会话进行单独审计。2.1 图形会话的审计审计管理员如何审计图形会话的、图形会话可以审计的相关内容有哪些？比如某个用户以图形方式在访问diaobao的一台目标设备，审计管理员要如何得知此用户

3、的操作，用户的操作是否影响到目标设备的安全？下面我们通过对用户audit以图形方式访问一台linux目标设备的操作进行审计，以此为例来说明图形会话的审计。2.1.1图形会话记录内容详解查看范例之前运维操作审计员需要先了解图形会话记录的内容，下面将对图形会话的记录作详细的解述。请运维操作审计员登录diaobao，打开审计管理运维操作审计页面，见下图：访问者：此次会话由那个IP来进行访问的资源：被访问设备审计节点：被访问者IP协议|账号：用户访问目标设备所用到的访问方式和账号。ssh：Linux目标设备；root：访问目标设备的账号；访问时间：此次会话用户登录设备的开始时间；时长|流量：用户访问目

4、标设备所用时间和流量，在线：指用户还在目标设备上，此次图形会话还在进行中。状态：指此次图形会话的状态。3种：成功、失败、阻断中。成功：指用户已结束此次会话或正在访问。失败：指用户此次会话未成功。阻断中：指用户正在切断此次会话。功能：指对会话的查看，有以下情况：回放：用户成功结束会话后可点击回放查看此次用户会话操作。 错误信息：点击后查看此次会话连接失败的信息。2.1.2图形会话审计播放工具介绍离线播放图形会话需要安装播放工具。审计管理单点登录/回放控件下载，下载播放工具，如图：下载并安装。播放工具详解，见下图：播放工具条位于审计窗口下方，按照从左向右的顺序，各按钮含义如下：播放按钮，点击开始播

5、放。暂停按钮，点击暂停播放。停止按钮，点击停止播放。播放速度，数值越大播放速度越快。2.1.3实时审计所谓实时审计是指对状态为活动的会话进行实时监控。让用户192.168.1.137访问Windows，不退出目标设备。打开审计管理运维操作审计可看到时长|流量下显示在线，见下图：单击此会话的实时监控，出现如下图：审计管理员通过这种方式能监控用户在windows的所有操作。2.1.4切断实时会话运维操作审计员可对在线的回话进行切断，回话切断后，用户将会强制退出目标设备。比如：当审计管理员在实时监控用户user01在设备windows上的操作时，发现用户user01准备格式化C盘。审计管理员可切断此

6、会话，不允许用户user01对设备windows进行操作。打开审计管理运维操作审计页面，点击用户user01访问windows图形会话记录对应的阻断。阻断后页面显示：如下图：2.1.5会话的筛选与查询用户如要查询某些具体会话，可选用如下2种方式进行查询：正常的查询筛选:打开审计管理运维操作审计页面，此页面上方拥有查询条件，如下图：高级会话查询:打开审计管理运维操作审计高级页面，此页面上拥有具体到IP、操作人、资源等条件，如下图：在此刻进行精确的会话查询。2.1.6导出Excel打开审计管理运维操作审计页面，上方有导出Excel按钮，可勾选审计信息前方的选框有选择性的导出也可直接点击导出按钮导出

7、全部审计信息。2.2 字符会话的审计字符会话主要是指用户通过telnet或SSH方式访问目标设备，对目标设备的操作是以命令来执行的。2.2.1字符会话记录内容详解审计管理员在进行字符会话审计之前需要先了解字符会话记录的详细内容。打开审计管理运维操作审计页面，见下图：会话记录的状态：活动的和关闭的，时长|流量下显示在线的表明此会话是活动的，如上图几条记录：第一条时长|流量下显示在线，表明此会话还在进行中，其他显示时间|流量的则代表是已结束的会话。其他详解信息见2.1.1小节 功能： 内容：用户此次会话设备界面的所有文字命令。 指令：用户此次会话中所输入的命令已经输入命令时的时间。 回放：用户此次

8、会话以播放的形式显示。用户此次会话失败的信息。2.2.2字符会话审计范例审计管理员通过对字符会话的审计可以知道用户对目标设备做过什么，正在做什么，并能切断用户对目标设备的操作。2.2.3已结束的字符会话的审计比如审计管理员想知道用户audit昨天对目标设备Linux做了哪些操作，执行如下操作：打开审计管理运维操作审计页面，找到用户audit对目标设备Linux的会话记录，单击功能下的指令。在显示的会话输出页面中，管理员可以看到用户所做过的详细操作，见下图：2.2.4如何监控活动的字符会话比如用户audit正在通过字符通讯的方式访问目标设备Linux。而审计管理想要看audit 在目标设备Lin

9、ux上正在做什么操作，则审计管理员可做如下操作：打开审计管理运维操作审计页面，活动的（时长|流量下显示在线）audit 在目标设备Linux的会话记录，单击此会话对应的功能下的实时监控按钮。见下图：审计管理员在打开的页面中可以实时监控audit 在目标设备Linux的操作。2.2.5如何中断活动的字符会话审计管理员可以中断活动的字符会话。如当审计管理员发现系统中有一个用户正对某设备进行不规范的操作，则审计管理员可通过中断这个操作来断开用户对设备的操作。打开审计管理运维操作审计页面，选择要监控的实时会话，单击此会话对应的功能下的阻断按钮。2.2.6字符会话的查询筛选用户如要查询某些具体字符会话，可选用以下2种方式的一种：打开审计管理运维操作审计页面，此页面上方有快速搜索栏，见下图：打开审计管理运维操作审计高级页面，此页面上的条件可进行组合，进行更精确的查询，见下图：