Bastionhost支援將審計日誌(即營運記錄)歸檔到Simple Log Service (SLS)。審計日誌歸檔配置完成後,Bastionhost在接收到營運記錄時,即可自動將日誌轉存到Log Service中。本文介紹如何將審計日誌歸檔到Log Service。
背景資訊
審計日誌即Bastionhost使用者使用Bastionhost的操作記錄,包括會話命令審計和動作記錄。Bastionhost預設僅提供180天日誌儲存服務,如果需要長期儲存審計日誌,您可以將審計日誌歸檔到SLS。將審計日誌歸檔到SLS後,您可以對審計日誌進行查詢和分析,自訂日誌儲存時間,同時支援將日誌通過SLS轉寄到Splunk等第三方平台。更多資訊,請參見查詢與分析或阿里雲Log ServiceSplunk Add-on。
將審計日誌歸檔到SLS後,儲存在Bastionhost的審計日誌不受影響,您仍可以在會話審計頁面,查看審計日誌。更多資訊,請參見搜尋和查看會話。
操作步驟
根據頁面提示,開通Log Service。
訪問日誌審計服務頁面。
在左側導覽列,選擇雲產品接入 > 全域配置,並參考以下步驟配置審計資訊。
在中心專案Project所在地區下拉式清單中,選擇日誌中心化儲存的目標地區。
在雲產品列表中,開啟Bastionhost動作記錄開關並設定儲存方式中的儲存時間。
查看Bastionhost審計日誌。
在左側導覽列,單擊
表徵圖。選擇中心化 > Bastionhost,查看審計日誌。
下表是Bastionhost審計日誌轉存到Simple Log Service (SLS)後的日誌欄位詳情,供您參考。
SLS日誌欄位
欄位說明
__topic__
日誌主題,固定為bastionhost。
owner_id
阿里雲帳號ID。
region
Bastionhost執行個體所在地區。
content
字元命令、檔案傳輸等操作的內容。
event_type
事件類型。詳情請參見event_type詳細說明。
instance_id
Bastionhost執行個體ID。
resource_address
營運的資產IP地址。
resource_name
營運的資產名稱。
result
字元命令、檔案傳輸等操作的結果。
session_id
會話ID,會話唯一標識。
user_client_ip
使用者來源IP地址,即使用者訪問Bastionhost使用的IP。
user_id
Bastionhost使用者ID,即使用者唯一標識。
user_name
Bastionhost使用者名稱稱。
event_type詳細說明
事件 | 說明 |
db.oracle.req | oracle資料庫請求事件 |
db.mysql.req | mysql資料庫請求事件 |
db.pgsql.req | PostgreSQL資料庫請求事件 |
cmd.Command | 命令字元 |
cmd.Command.policy | 被控制策略處理過的命令 |
graph.Text | 圖形文字 |
graph.Keyboard | 圖形鍵盤事件 |
file.Upload | 上傳檔案 |
file.Download | 下載檔案 |
file.Rename | 重新命名檔案 |
file.Delete | 刪除檔案 |
file.DeleteDir | 刪除目錄 |
file.CreateDir | 建立目錄 |
login.CSLogin | 使用者CS登入 |
Session.session | 一個會話 |
下列事件僅V3.2.43及以上版本支援 | |
login.CSPasswordLogin | CS賬密登入認證 |
login.CSResetPassword | CS修改密碼 |
login.PortalPasswordLogin | Portal使用者賬密登入認證 |
user.PortalResetPassword | Portal修改密碼 |
user.PortalClearOTP | Portal清除手機OTP令牌 |
user.PortalBindOTP | Portal綁定手機OTP令牌 |
user.PortalLogout | Portal退出登入 |
login.CSTwoFactorLogin | CS雙因子認證 |
login.PortalTwoFactorLogin | Portal雙因子認證 |
user.CreateUser | 建立使用者 |
user.DeleteUser | 刪除使用者 |
user.ModifyUser | 編輯使用者 |
user.LockUser | 鎖定使用者 |
user.UnlockUser | 解鎖使用者 |
user.CreateUserPublicKey | 添加使用者SSH公開金鑰 |
user.ModifyUserPublicKey | 更新使用者SSH公開金鑰 |
user.DeleteUserPublicKey | 刪除使用者SSH公開金鑰 |
user.ExportUsers | 匯出使用者 |
user.SyncRemoteUserDN | 同步遠端使用者DN |
user.NotifyUserOperationAddress | 修改使用者登入限制 |
user.SetUserUSBKey | 綁定使用者USBKEY認證 |
user.ResetUserUSBKey | 解除綁定使用者USBKEY認證 |
user.CreateUserGroup | 建立使用者組 |
user.ModifyUserGroup | 編輯使用者組 |
user.DeleteUserGroup | 刪除使用者組 |
user.AddUsersToGroup | 添加使用者群組成員 |
user.RemoveUsersFromGroup | 移除使用者群組成員 |
asset.CreateHost | 建立主機 |
asset.ModifyHost | 編輯主機 |
asset.DeleteHost | 刪除主機 |
asset.EnableHost | 啟用主機 |
asset.DisableHost | 禁用主機 |
asset.ResetHostsFingerPrint | 更新主機指紋 |
asset.RefreshECSHostStatus | 檢查ECS主機狀態 |
asset.RefreshKMSSecretsForECS | 檢查更新ECS主機KMS憑據狀態 |
asset.RefreshAssetNetworkStatus | 檢查資產網路狀態 |
asset.ExportHosts | 匯出主機 |
asset.CreateDatabase | 建立資料庫資產 |
asset.ModifyDatabase | 修改資料庫資產 |
asset.DeleteDatabase | 刪除資料庫資產 |
asset.EnableDatabase | 啟用資料庫資產 |
asset.DisableDatabase | 禁用資料庫資產 |
asset.RefreshRDSDatabaseStatus | 檢查RDS資料庫資產狀態 |
asset.ExportDatabases | 匯出資料庫資產 |
asset.CreateAssetGroup | 建立資產組 |
asset.ModifyAssetGroup | 編輯資產組 |
asset.DeleteAssetGroup | 刪除資產組 |
asset.AddHostsToGroup | 添加資產組主機成員 |
asset.RemoveHostsFromGroup | 移除資產組主機成員 |
asset.AddDatabasesToGroup | 添加資產組資料庫成員 |
asset.RemoveDatabasesFromGroup | 移除資產組資料庫成員 |
asset.AddAppsToGroup | 添加資產組應用成員 |
asset.RemoveAppsFromGroup | 移除資產組應用成員 |
asset.CreateHostAccount | 建立主機賬戶 |
asset.ModifyHostAccount | 編輯主機賬戶 |
asset.DeleteHostAccount | 刪除主機賬戶 |
asset.ResetHostAccountCredential | 清除主機賬戶憑據 |
asset.CreateDatabaseAccount | 建立資料庫帳號 |
asset.ModifyDatabaseAccount | 修改資料庫帳號 |
asset.DeleteDatabaseAccount | 刪除資料庫帳號 |
asset.CreateAssetSource | 建立第三方資產源 |
asset.ModifyAssetSource | 編輯第三方資產源 |
asset.DeleteAssetSource | 刪除第三方資產源 |
authorization.AttachHostAccountsToUser | 授權使用者使用主機帳號 |
authorization.DetachHostAccountsFromUser | 刪除使用者已授權的主機帳號 |
authorization.AttachHostAccountsToUserGroup | 授權使用者組使用主機帳號 |
authorization.DetachHostAccountsFromUserGroup | 刪除使用者組已授權的主機帳號 |
authorization.AttachAssetGroupAccountsToUser | 授權使用者使用主機帳號名 |
authorization.DetachAssetGroupAccountsFromUser | 刪除使用者已授權的主機帳號名 |
authorization.AttachAssetGroupAccountsToUserGroup | 授權使用者組使用主機帳號名 |
authorization.DetachAssetGroupAccountsFromUserGroup | 刪除使用者組已授權的主機帳號名 |
asset.AttachDatabaseAccountsToUser | 授權使用者使用資料庫帳號 |
asset.DetachDatabaseAccountsFromUser | 刪除使用者已授權的主機帳號 |
asset.AttachDatabaseAccountsToUserGroup | 授權使用者組使用資料庫帳號 |
asset.DetachDatabaseAccountsFromUserGroup | 刪除使用者組已授權的資料庫帳號 |
policy.CreatePolicy | 建立控制策略 |
policy.DeletePolicy | 刪除控制策略 |
policy.ModifyPolicy | 更新控制策略 |
policy.AttachUsersToPolicy | 控制策略關聯使用者 |
policy.DetachUsersFromPolicy | 移除控制策略關聯的使用者 |
policy.AttachUserGroupsToPolicy | 控制策略關聯使用者組 |
policy.DetachUserGroupsFromPolicy | 移除控制策略關聯的使用者組 |
policy.AttachHostsToPolicy | 控制策略關聯主機 |
policy.DetachHostsFromPolicy | 移除控制策略關聯的主機 |
policy.AttachAssetGroupsToPolicy | 控制策略關聯主機群組 |
policy.DetachAssetGroupsFromPolicy | 移除控制策略關聯的主機群組 |
policy.CreateDatabaseMaskPolicy | 建立資料脫敏策略 |
policy.ModifyDatabaseMaskPolicy | 修改資料脫敏策略 |
policy.DeleteDatabaseMaskPolicy | 刪除資料脫敏策略 |
policy.AttachDatabasesToPolicy | 控制策略關聯資料庫 |
policy.DetachDatabasesFromPolicy | 移除控制策略關聯的資料庫 |
policy.AttachAppsToPolicy | 控制策略關聯應用 |
policy.DetachAppsFromPolicy | 移除控制策略相關 App |
policy.SetPolicyUserScope | 設定指定控制策略的使用者生效範圍 |
policy.SetPolicyAssetScope | 設定指定控制策略的資產生效範圍 |
policy.SetHostAccountToPolicy | 設定指定控制策略關聯主機的賬戶 |
policy.SetDatabaseAccountToPolicy | 設定指定控制策略關聯資料庫的賬戶 |
policy.SetAppAccountToPolicy | 設定指定控制策略關聯資料庫的賬戶 |
policy.SetAssetGroupAccountNamesToPolicy | 設定指定控制策略關聯資產組的賬戶 |
policy.GenerateApproveCommand | 產生命令審批記錄 |
policy.CancelApproveCommand | 取消命令審批 |
policy.AcceptApproveCommand | 允許命令審批 |
policy.RejectApproveCommand | 拒絕命令審批 |
policy.GenerateApproveCommand | 建立一條命令審批 |
task.CreatePasswordTask | 建立改密任務 |
task.ModifyPasswordTask | 更新改密任務 |
task.DeletePasswordTask | 刪除改密任務 |
task.AttachHostAccountsToPasswordTask | 給改密任務關聯主機帳號 |
task.DetachHostAccountsFromPasswordTask | 解除改密任務關聯的主機帳號 |
task.ExecutePasswordTask | 執行改密任務 |
task.CancelPasswordTask | 取消改密任務 |
task.EnablePasswordTask | 啟用改密任務 |
task.ExportPasswordTaskHistory | 匯出改密任務歷史 |
system.DeleteAuditSessionVideo | 刪除會話錄影檔案 |
system.ModifyInstanceTwoFactor | 修改雙因子認證配置 |
system.InterruptAuditSession | 阻斷會話 |
system.ImportBastionHostConfig | 匯入配置備份 |
system.ExportBastionHostConfig | 匯出配置備份 |
system.ModifyInstanceLDAPAuthServer | 修改LDAP證明伺服器配置 |
system.ModifyInstanceADAuthServer | 修改AD證明伺服器配置 |
system.AddInstanceMember | 添加執行個體RD成員賬戶 |
system.RemoveInstanceMember | 移除執行個體RD成員賬戶 |
system.ModifyInstanceTLSConfig | 修改TLS安全性配置 |
system.ModifyDataEncryptionConfig | 修改資料加密方式配置 |
system.VerifyUserInfoSignature | 使用者關鍵資訊驗簽 |
system.BindIDaaSInstance | 綁定IDaaS執行個體 |
system.UnbindIDaaSInstance | 解除綁定IDaaS執行個體 |
system.ModifyInstanceLoginPolicy | 修改使用者登入配置和使用者鎖定策略配置 |
system.ModifyInstanceUserPolicy | 修改使用者密碼安全配置和使用者狀態配置 |
system.CreateInstanceADAuthServer | 建立執行個體AD證明伺服器 |
system.DeleteInstanceADAuthServer | 刪除執行個體AD證明伺服器 |
system.ModifyInstanceIDaaSConfig | 修改已綁定的IDaaS執行個體配置 |
system.ModifyInstanceOperationConfig | 修改執行個體營運配置 |
system.ModifyInstanceAssetPolicy | 修改連通性狀態檢查周期配置 |
system.AddInstanceNotificationReceiveUser | 添加訊息通知警示管理員 |
system.RemoveInstanceNotificationReceiveUser | 移除訊息通知警示管理員 |
system.ModifyInstanceNotificationConfig | 修改訊息通知配置 |
system.ModifyInstanceStorePolicy | 修改會話錄影自動刪除配置 |
system.ModifyInstanceSessionPolicy | 修改會話列表自動清理配置 |
audit.DownloadOperationEventsBackup | 下載營運事件記錄備份 |
audit.ExportOperationAuditReport | 匯出營運報表 |
audit.DownloadAutoOperationTaskOutput | 下載自動營運任務結果 |
asset.CreateHostShareKey | 建立共用密鑰 |
asset.ModifyHostShareKey | 編輯共用密鑰 |
asset.DeleteHostShareKey | 刪除共用密鑰 |
asset.AttachHostAccountsToHostShareKey | 共用密鑰關聯主機帳號 |
asset.DetachHostAccountsFromHostShareKey | 取消主機帳號和共用密鑰關聯 |
asset.CreateNetworkDomain | 建立網路域 |
asset.ModifyNetworkDomain | 編輯網路域 |
asset.DeleteNetworkDomain | 刪除網路域 |
asset.MoveHostsToNetworkDomain | 修改主機所屬網路域 |
asset.MoveDatabasesToNetworkDomain | 修改資料庫所屬網路域 |
authorization.CreateRule | 建立授權規則 |
authorization.ModifyRule | 修改授權規則 |
authorization.DeleteRule | 刪除授權規則 |
authorization.EnableRule | 啟用授權規則 |
authorization.DisableRule | 禁用授權規則 |
authorization.ExportAuthorizationRelation | 匯出授權關係 |
operation.CreateOperationTicket | 建立營運審批工單 |
operation.AcceptOperationTicket | 允許營運申請 |
operation.RejectOperationTicket | 拒絕營運申請 |
operation.CancelOperationTicket | 取消營運申請 |
task.CreateAutoOperationTask | 建立營運任務 |
task.ModifyAutoOperationTask | 修改營運任務 |
task.DeleteAutoOperationTask | 刪除營運任務 |
task.StartAutoOperationTask | 開始營運任務 |
task.StopAutoOperationTask | 停止營運任務 |
task.CreateAutoOperationScript | 建立營運指令碼 |
task.ModifyAutoOperationScript | 修改營運指令碼 |
task.DeleteAutoOperationScript | 刪除營運指令碼 |
task.AcceptOperationTaskApproval | 允許自動營運任務工單 |
task.RejectOperationTaskApproval | 拒絕自動營運任務工單 |
task.CancelAutoOperationTask | 取消營運任務申請 |
asset.ImportKMSSecretsForHost | 匯入KMS憑據 |
operation.ConnectAsset | 串連資產 |
operation.LoginAsset | 登入資產 |
operation.LogoutAsset | 登出資產 |
operation.SetOperationSSOConfig | 修改單點登入營運終端設定 |
operation.ModifyOperationUserProfile | 營運員修改個人資訊 |
asset.CreateAppServer | 建立應用伺服器 |
asset.ModifyAppServer | 修改應用伺服器 |
asset.DeleteAppServers | 刪除應用伺服器 |
asset.SyncAppServerAccount | 同步應用伺服器帳號 |
asset.CreateAppTool | 建立遠程用戶端工具 |
asset.ModifyAppTool | 修改遠程用戶端工具 |
asset.DeleteAppTools | 刪除遠程用戶端工具 |
asset.CreateApp | 建立應用 |
asset.ModifyApp | 修改應用 |
asset.DeleteApps | 刪除應用 |
asset.DeleteApp | 刪除單個應用 |
asset.CreateAppAccount | 建立應用帳號 |
asset.ModifyAppAccount | 修改應用帳號 |
asset.DeleteAppAccounts | 刪除應用帳號 |
asset.AttachAppAccountsToUser | 添加使用者已授權的應用帳號 |
asset.DetachAppAccountsFromUser | 刪除使用者已授權的應用帳號 |
asset.AttachAppAccountsToUserGroup | 添加使用者組已授權的應用帳號 |
asset.DetachAppAccountsFromUserGroup | 刪除使用者組已授權的應用帳號 |