全部产品
Search
文档中心

运维安全中心(堡垒机):归档审计日志到日志服务

更新时间:Dec 17, 2024

运维安全中心(堡垒机)支持将审计日志(即运维记录)归档到日志服务 SLS(Simple Log Service)。审计日志归档配置完成后,堡垒机在接收到运维记录时,即可自动实时将审计日志转存到日志服务中。本文介绍如何将审计日志归档到日志服务。

说明

仅支持将配置完成后产生的审计日志,归档到日志服务,配置前的审计日志不支持归档。

背景信息

审计日志即堡垒机用户使用堡垒机的操作记录,包括会话命令审计和操作日志。堡垒机默认仅提供180天日志存储服务,如果需要长期保存审计日志,您可以将审计日志归档到SLS。将审计日志归档到SLS后,您可以对审计日志进行查询和分析,自定义日志保存时间,同时支持将日志通过SLS转发到Splunk等第三方平台。更多信息,请参见查询与分析阿里云日志服务Splunk Add-on

说明

将审计日志归档到SLS后,存储在堡垒机的审计日志不受影响,您仍可以在会话审计页面,查看审计日志。更多信息,请参见搜索和查看会话

操作步骤

  1. 登录日志服务控制台

  2. 根据页面提示,开通日志服务。

  3. 访问日志审计服务页面。

  4. 在左侧导航栏,选择云产品接入 > 全局配置,并参考以下步骤配置审计信息。

    1. 中心项目Project所在区域下拉列表中,选择日志中心化存储的目标地域。

    2. 在云产品列表中,打开堡垒机操作日志开关并设置存储方式中的存储时间。全局配置

  5. 查看堡垒机审计日志。

    1. 在左侧导航栏,单击审计查询图标。

    2. 选择中心化 > 堡垒机,查看审计日志。

      下表是堡垒机审计日志转存到日志服务 SLS(Simple Log Service)后的日志字段详情,供您参考。

    3. SLS日志字段

      字段说明

      __topic__

      日志主题,固定为bastionhost。

      owner_id

      阿里云账号ID。

      region

      堡垒机实例所在地域。

      content

      字符命令、文件传输等操作的内容。

      event_type

      事件类型。详情请参见event_type详细说明

      instance_id

      堡垒机实例ID。

      resource_address

      运维的资产IP地址。

      resource_name

      运维的资产名称。

      result

      字符命令、文件传输等操作的结果。

      session_id

      会话ID,会话唯一标识。

      user_client_ip

      用户来源IP地址,即用户访问堡垒机使用的IP。

      user_id

      堡垒机用户ID,即用户唯一标识。

      user_name

      堡垒机用户名称。

event_type详细说明

事件

说明

db.oracle.req

oracle数据库请求事件

db.mysql.req

mysql数据库请求事件

db.pgsql.req

PostgreSQL数据库请求事件

cmd.Command

命令字符

cmd.Command.policy

被控制策略处理过的命令

graph.Text

图形文字

graph.Keyboard

图形键盘事件

file.Upload

上传文件

file.Download

下载文件

file.Rename

重命名文件

file.Delete

删除文件

file.DeleteDir

删除目录

file.CreateDir

创建目录

login.CSLogin

用户CS登录

Session.session

一个会话

下列事件仅V3.2.43及以上版本支持

login.CSPasswordLogin

CS账密登录认证

login.CSResetPassword

CS修改密码

login.PortalPasswordLogin

Portal用户账密登录认证

user.PortalResetPassword

Portal修改密码

user.PortalClearOTP

Portal清除手机OTP令牌

user.PortalBindOTP

Portal绑定手机OTP令牌

user.PortalLogout

Portal退出登录

login.CSTwoFactorLogin

CS双因子认证

login.PortalTwoFactorLogin

Portal双因子认证

user.CreateUser

创建用户

user.DeleteUser

删除用户

user.ModifyUser

编辑用户

user.LockUser

锁定用户

user.UnlockUser

解锁用户

user.CreateUserPublicKey

添加用户SSH公钥

user.ModifyUserPublicKey

更新用户SSH公钥

user.DeleteUserPublicKey

删除用户SSH公钥

user.ExportUsers

导出用户

user.SyncRemoteUserDN

同步远程用户DN

user.NotifyUserOperationAddress

修改用户登录限制

user.SetUserUSBKey

绑定用户USBKEY证书

user.ResetUserUSBKey

解绑用户USBKEY证书

user.CreateUserGroup

创建用户组

user.ModifyUserGroup

编辑用户组

user.DeleteUserGroup

删除用户组

user.AddUsersToGroup

添加用户组成员

user.RemoveUsersFromGroup

移除用户组成员

asset.CreateHost

创建主机

asset.ModifyHost

编辑主机

asset.DeleteHost

删除主机

asset.EnableHost

启用主机

asset.DisableHost

禁用主机

asset.ResetHostsFingerPrint

更新主机指纹

asset.RefreshECSHostStatus

检查ECS主机状态

asset.RefreshKMSSecretsForECS

检查更新ECS主机KMS凭据状态

asset.RefreshAssetNetworkStatus

检查资产网络状态

asset.ExportHosts

导出主机

asset.CreateDatabase

创建数据库资产

asset.ModifyDatabase

修改数据库资产

asset.DeleteDatabase

删除数据库资产

asset.EnableDatabase

启用数据库资产

asset.DisableDatabase

禁用数据库资产

asset.RefreshRDSDatabaseStatus

检查RDS数据库资产状态

asset.ExportDatabases

导出数据库资产

asset.CreateAssetGroup

创建资产组

asset.ModifyAssetGroup

编辑资产组

asset.DeleteAssetGroup

删除资产组

asset.AddHostsToGroup

添加资产组主机成员

asset.RemoveHostsFromGroup

移除资产组主机成员

asset.AddDatabasesToGroup

添加资产组数据库成员

asset.RemoveDatabasesFromGroup

移除资产组数据库成员

asset.AddAppsToGroup

添加资产组应用成员

asset.RemoveAppsFromGroup

移除资产组应用成员

asset.CreateHostAccount

创建主机账户

asset.ModifyHostAccount

编辑主机账户

asset.DeleteHostAccount

删除主机账户

asset.ResetHostAccountCredential

清除主机账户凭据

asset.CreateDatabaseAccount

创建数据库账号

asset.ModifyDatabaseAccount

修改数据库账号

asset.DeleteDatabaseAccount

删除数据库账号

asset.CreateAssetSource

创建第三方资产源

asset.ModifyAssetSource

编辑第三方资产源

asset.DeleteAssetSource

删除第三方资产源

authorization.AttachHostAccountsToUser

授权用户使用主机账号

authorization.DetachHostAccountsFromUser

刪除用户已授权的主机账号

authorization.AttachHostAccountsToUserGroup

授权用户组使用主机账号

authorization.DetachHostAccountsFromUserGroup

刪除用户组已授权的主机账号

authorization.AttachAssetGroupAccountsToUser

授权用户使用主机账号名

authorization.DetachAssetGroupAccountsFromUser

刪除用户已授权的主机账号名

authorization.AttachAssetGroupAccountsToUserGroup

授权用户组使用主机账号名

authorization.DetachAssetGroupAccountsFromUserGroup

刪除用户组已授权的主机账号名

asset.AttachDatabaseAccountsToUser

授权用户使用数据库账号

asset.DetachDatabaseAccountsFromUser

刪除用户已授权的主机账号

asset.AttachDatabaseAccountsToUserGroup

授权用户组使用数据库账号

asset.DetachDatabaseAccountsFromUserGroup

刪除用户组已授权的数据库账号

policy.CreatePolicy

创建控制策略

policy.DeletePolicy

删除控制策略

policy.ModifyPolicy

更新控制策略

policy.AttachUsersToPolicy

控制策略关联用户

policy.DetachUsersFromPolicy

移除控制策略关联的用户

policy.AttachUserGroupsToPolicy

控制策略关联用户组

policy.DetachUserGroupsFromPolicy

移除控制策略关联的用户组

policy.AttachHostsToPolicy

控制策略关联主机

policy.DetachHostsFromPolicy

移除控制策略关联的主机

policy.AttachAssetGroupsToPolicy

控制策略关联主机组

policy.DetachAssetGroupsFromPolicy

移除控制策略关联的主机组

policy.CreateDatabaseMaskPolicy

创建数据脱敏策略

policy.ModifyDatabaseMaskPolicy

修改数据脱敏策略

policy.DeleteDatabaseMaskPolicy

删除数据脱敏策略

policy.AttachDatabasesToPolicy

控制策略关联数据库

policy.DetachDatabasesFromPolicy

移除控制策略关联的数据库

policy.AttachAppsToPolicy

控制策略关联应用

policy.DetachAppsFromPolicy

移除控制策略关联的应用

policy.SetPolicyUserScope

设置指定控制策略的用户生效范围

policy.SetPolicyAssetScope

设置指定控制策略的资产生效范围

policy.SetHostAccountToPolicy

设置指定控制策略关联主机的账户

policy.SetDatabaseAccountToPolicy

设置指定控制策略关联数据库的账户

policy.SetAppAccountToPolicy

设置指定控制策略关联数据库的账户

policy.SetAssetGroupAccountNamesToPolicy

设置指定控制策略关联资产组的账户

policy.GenerateApproveCommand

生成命令审批记录

policy.CancelApproveCommand

取消命令审批

policy.AcceptApproveCommand

允许命令审批

policy.RejectApproveCommand

拒绝命令审批

policy.GenerateApproveCommand

创建一条命令审批

task.CreatePasswordTask

创建改密任务

task.ModifyPasswordTask

更新改密任务

task.DeletePasswordTask

删除改密任务

task.AttachHostAccountsToPasswordTask

给改密任务关联主机账号

task.DetachHostAccountsFromPasswordTask

解除改密任务关联的主机账号

task.ExecutePasswordTask

执行改密任务

task.CancelPasswordTask

取消改密任务

task.EnablePasswordTask

启用改密任务

task.ExportPasswordTaskHistory

导出改密任务历史

system.DeleteAuditSessionVideo

删除会话录像文件

system.ModifyInstanceTwoFactor

修改双因子认证配置

system.InterruptAuditSession

阻断会话

system.ImportBastionHostConfig

导入配置备份

system.ExportBastionHostConfig

导出配置备份

system.ModifyInstanceLDAPAuthServer

修改LDAP认证服务器配置

system.ModifyInstanceADAuthServer

修改AD认证服务器配置

system.AddInstanceMember

添加实例RD成员账户

system.RemoveInstanceMember

移除实例RD成员账户

system.ModifyInstanceTLSConfig

修改TLS安全性配置

system.ModifyDataEncryptionConfig

修改数据加密方式配置

system.VerifyUserInfoSignature

用户关键信息验签

system.BindIDaaSInstance

绑定IDaaS实例

system.UnbindIDaaSInstance

解绑IDaaS实例

system.ModifyInstanceLoginPolicy

修改用户登录配置和用户锁定策略配置

system.ModifyInstanceUserPolicy

修改用户密码安全配置和用户状态配置

system.CreateInstanceADAuthServer

创建实例AD认证服务器

system.DeleteInstanceADAuthServer

删除实例AD认证服务器

system.ModifyInstanceIDaaSConfig

修改已绑定的IDaaS实例配置

system.ModifyInstanceOperationConfig

修改实例运维配置

system.ModifyInstanceAssetPolicy

修改连通性状态检查周期配置

system.AddInstanceNotificationReceiveUser

添加消息通知告警管理员

system.RemoveInstanceNotificationReceiveUser

移除消息通知告警管理员

system.ModifyInstanceNotificationConfig

修改消息通知配置

system.ModifyInstanceStorePolicy

修改会话录像自动删除配置

system.ModifyInstanceSessionPolicy

修改会话列表自动清理配置

audit.DownloadOperationEventsBackup

下载运维事件日志备份

audit.ExportOperationAuditReport

导出运维报表

audit.DownloadAutoOperationTaskOutput

下载自动运维任务结果

asset.CreateHostShareKey

创建共享密钥

asset.ModifyHostShareKey

编辑共享密钥

asset.DeleteHostShareKey

删除共享密钥

asset.AttachHostAccountsToHostShareKey

共享密钥关联主机账号

asset.DetachHostAccountsFromHostShareKey

取消主机账号和共享密钥关联

asset.CreateNetworkDomain

创建网络域

asset.ModifyNetworkDomain

编辑网络域

asset.DeleteNetworkDomain

删除网络域

asset.MoveHostsToNetworkDomain

修改主机所属网络域

asset.MoveDatabasesToNetworkDomain

修改数据库所属网络域

authorization.CreateRule

创建授权规则

authorization.ModifyRule

修改授权规则

authorization.DeleteRule

删除授权规则

authorization.EnableRule

启用授权规则

authorization.DisableRule

禁用授权规则

authorization.ExportAuthorizationRelation

导出授权关系

operation.CreateOperationTicket

创建运维审批工单

operation.AcceptOperationTicket

允许运维申请

operation.RejectOperationTicket

拒绝运维申请

operation.CancelOperationTicket

取消运维申请

task.CreateAutoOperationTask

新建运维任务

task.ModifyAutoOperationTask

修改运维任务

task.DeleteAutoOperationTask

删除运维任务

task.StartAutoOperationTask

开始运维任务

task.StopAutoOperationTask

停止运维任务

task.CreateAutoOperationScript

新建运维脚本

task.ModifyAutoOperationScript

修改运维脚本

task.DeleteAutoOperationScript

删除运维脚本

task.AcceptOperationTaskApproval

允许自动运维任务工单

task.RejectOperationTaskApproval

拒绝自动运维任务工单

task.CancelAutoOperationTask

取消运维任务申请

asset.ImportKMSSecretsForHost

导入KMS凭据

operation.ConnectAsset

连接资产

operation.LoginAsset

登录资产

operation.LogoutAsset

登出资产

operation.SetOperationSSOConfig

修改单点登录运维终端设置

operation.ModifyOperationUserProfile

运维员修改个人信息

asset.CreateAppServer

创建应用服务器

asset.ModifyAppServer

修改应用服务器

asset.DeleteAppServers

删除应用服务器

asset.SyncAppServerAccount

同步应用服务器账号

asset.CreateAppTool

创建远程客户端工具

asset.ModifyAppTool

修改远程客户端工具

asset.DeleteAppTools

删除远程客户端工具

asset.CreateApp

创建应用

asset.ModifyApp

修改应用

asset.DeleteApps

删除应用

asset.DeleteApp

删除单个应用

asset.CreateAppAccount

创建应用账号

asset.ModifyAppAccount

修改应用账号

asset.DeleteAppAccounts

删除应用账号

asset.AttachAppAccountsToUser

添加用户已授权的应用账号

asset.DetachAppAccountsFromUser

删除用户已授权的应用账号

asset.AttachAppAccountsToUserGroup

添加用户组已授权的应用账号

asset.DetachAppAccountsFromUserGroup

删除用户组已授权的应用账号