运维安全中心(堡垒机)支持将审计日志(即运维记录)归档到日志服务 SLS(Simple Log Service)。审计日志归档配置完成后,堡垒机在接收到运维记录时,即可自动实时将审计日志转存到日志服务中。本文介绍如何将审计日志归档到日志服务。
仅支持将配置完成后产生的审计日志,归档到日志服务,配置前的审计日志不支持归档。
背景信息
审计日志即堡垒机用户使用堡垒机的操作记录,包括会话命令审计和操作日志。堡垒机默认仅提供180天日志存储服务,如果需要长期保存审计日志,您可以将审计日志归档到SLS。将审计日志归档到SLS后,您可以对审计日志进行查询和分析,自定义日志保存时间,同时支持将日志通过SLS转发到Splunk等第三方平台。更多信息,请参见查询与分析或阿里云日志服务Splunk Add-on。
将审计日志归档到SLS后,存储在堡垒机的审计日志不受影响,您仍可以在会话审计页面,查看审计日志。更多信息,请参见搜索和查看会话。
操作步骤
登录日志服务控制台。
根据页面提示,开通日志服务。
访问日志审计服务页面。
在左侧导航栏,选择云产品接入 > 全局配置,并参考以下步骤配置审计信息。
在中心项目Project所在区域下拉列表中,选择日志中心化存储的目标地域。
在云产品列表中,打开堡垒机操作日志开关并设置存储方式中的存储时间。
查看堡垒机审计日志。
在左侧导航栏,单击图标。
选择中心化 > 堡垒机,查看审计日志。
下表是堡垒机审计日志转存到日志服务 SLS(Simple Log Service)后的日志字段详情,供您参考。
SLS日志字段
字段说明
__topic__
日志主题,固定为bastionhost。
owner_id
阿里云账号ID。
region
堡垒机实例所在地域。
content
字符命令、文件传输等操作的内容。
event_type
事件类型。详情请参见event_type详细说明。
instance_id
堡垒机实例ID。
resource_address
运维的资产IP地址。
resource_name
运维的资产名称。
result
字符命令、文件传输等操作的结果。
session_id
会话ID,会话唯一标识。
user_client_ip
用户来源IP地址,即用户访问堡垒机使用的IP。
user_id
堡垒机用户ID,即用户唯一标识。
user_name
堡垒机用户名称。
event_type详细说明
事件 | 说明 |
db.oracle.req | oracle数据库请求事件 |
db.mysql.req | mysql数据库请求事件 |
db.pgsql.req | PostgreSQL数据库请求事件 |
cmd.Command | 命令字符 |
cmd.Command.policy | 被控制策略处理过的命令 |
graph.Text | 图形文字 |
graph.Keyboard | 图形键盘事件 |
file.Upload | 上传文件 |
file.Download | 下载文件 |
file.Rename | 重命名文件 |
file.Delete | 删除文件 |
file.DeleteDir | 删除目录 |
file.CreateDir | 创建目录 |
login.CSLogin | 用户CS登录 |
Session.session | 一个会话 |
下列事件仅V3.2.43及以上版本支持 | |
login.CSPasswordLogin | CS账密登录认证 |
login.CSResetPassword | CS修改密码 |
login.PortalPasswordLogin | Portal用户账密登录认证 |
user.PortalResetPassword | Portal修改密码 |
user.PortalClearOTP | Portal清除手机OTP令牌 |
user.PortalBindOTP | Portal绑定手机OTP令牌 |
user.PortalLogout | Portal退出登录 |
login.CSTwoFactorLogin | CS双因子认证 |
login.PortalTwoFactorLogin | Portal双因子认证 |
user.CreateUser | 创建用户 |
user.DeleteUser | 删除用户 |
user.ModifyUser | 编辑用户 |
user.LockUser | 锁定用户 |
user.UnlockUser | 解锁用户 |
user.CreateUserPublicKey | 添加用户SSH公钥 |
user.ModifyUserPublicKey | 更新用户SSH公钥 |
user.DeleteUserPublicKey | 删除用户SSH公钥 |
user.ExportUsers | 导出用户 |
user.SyncRemoteUserDN | 同步远程用户DN |
user.NotifyUserOperationAddress | 修改用户登录限制 |
user.SetUserUSBKey | 绑定用户USBKEY证书 |
user.ResetUserUSBKey | 解绑用户USBKEY证书 |
user.CreateUserGroup | 创建用户组 |
user.ModifyUserGroup | 编辑用户组 |
user.DeleteUserGroup | 删除用户组 |
user.AddUsersToGroup | 添加用户组成员 |
user.RemoveUsersFromGroup | 移除用户组成员 |
asset.CreateHost | 创建主机 |
asset.ModifyHost | 编辑主机 |
asset.DeleteHost | 删除主机 |
asset.EnableHost | 启用主机 |
asset.DisableHost | 禁用主机 |
asset.ResetHostsFingerPrint | 更新主机指纹 |
asset.RefreshECSHostStatus | 检查ECS主机状态 |
asset.RefreshKMSSecretsForECS | 检查更新ECS主机KMS凭据状态 |
asset.RefreshAssetNetworkStatus | 检查资产网络状态 |
asset.ExportHosts | 导出主机 |
asset.CreateDatabase | 创建数据库资产 |
asset.ModifyDatabase | 修改数据库资产 |
asset.DeleteDatabase | 删除数据库资产 |
asset.EnableDatabase | 启用数据库资产 |
asset.DisableDatabase | 禁用数据库资产 |
asset.RefreshRDSDatabaseStatus | 检查RDS数据库资产状态 |
asset.ExportDatabases | 导出数据库资产 |
asset.CreateAssetGroup | 创建资产组 |
asset.ModifyAssetGroup | 编辑资产组 |
asset.DeleteAssetGroup | 删除资产组 |
asset.AddHostsToGroup | 添加资产组主机成员 |
asset.RemoveHostsFromGroup | 移除资产组主机成员 |
asset.AddDatabasesToGroup | 添加资产组数据库成员 |
asset.RemoveDatabasesFromGroup | 移除资产组数据库成员 |
asset.AddAppsToGroup | 添加资产组应用成员 |
asset.RemoveAppsFromGroup | 移除资产组应用成员 |
asset.CreateHostAccount | 创建主机账户 |
asset.ModifyHostAccount | 编辑主机账户 |
asset.DeleteHostAccount | 删除主机账户 |
asset.ResetHostAccountCredential | 清除主机账户凭据 |
asset.CreateDatabaseAccount | 创建数据库账号 |
asset.ModifyDatabaseAccount | 修改数据库账号 |
asset.DeleteDatabaseAccount | 删除数据库账号 |
asset.CreateAssetSource | 创建第三方资产源 |
asset.ModifyAssetSource | 编辑第三方资产源 |
asset.DeleteAssetSource | 删除第三方资产源 |
authorization.AttachHostAccountsToUser | 授权用户使用主机账号 |
authorization.DetachHostAccountsFromUser | 刪除用户已授权的主机账号 |
authorization.AttachHostAccountsToUserGroup | 授权用户组使用主机账号 |
authorization.DetachHostAccountsFromUserGroup | 刪除用户组已授权的主机账号 |
authorization.AttachAssetGroupAccountsToUser | 授权用户使用主机账号名 |
authorization.DetachAssetGroupAccountsFromUser | 刪除用户已授权的主机账号名 |
authorization.AttachAssetGroupAccountsToUserGroup | 授权用户组使用主机账号名 |
authorization.DetachAssetGroupAccountsFromUserGroup | 刪除用户组已授权的主机账号名 |
asset.AttachDatabaseAccountsToUser | 授权用户使用数据库账号 |
asset.DetachDatabaseAccountsFromUser | 刪除用户已授权的主机账号 |
asset.AttachDatabaseAccountsToUserGroup | 授权用户组使用数据库账号 |
asset.DetachDatabaseAccountsFromUserGroup | 刪除用户组已授权的数据库账号 |
policy.CreatePolicy | 创建控制策略 |
policy.DeletePolicy | 删除控制策略 |
policy.ModifyPolicy | 更新控制策略 |
policy.AttachUsersToPolicy | 控制策略关联用户 |
policy.DetachUsersFromPolicy | 移除控制策略关联的用户 |
policy.AttachUserGroupsToPolicy | 控制策略关联用户组 |
policy.DetachUserGroupsFromPolicy | 移除控制策略关联的用户组 |
policy.AttachHostsToPolicy | 控制策略关联主机 |
policy.DetachHostsFromPolicy | 移除控制策略关联的主机 |
policy.AttachAssetGroupsToPolicy | 控制策略关联主机组 |
policy.DetachAssetGroupsFromPolicy | 移除控制策略关联的主机组 |
policy.CreateDatabaseMaskPolicy | 创建数据脱敏策略 |
policy.ModifyDatabaseMaskPolicy | 修改数据脱敏策略 |
policy.DeleteDatabaseMaskPolicy | 删除数据脱敏策略 |
policy.AttachDatabasesToPolicy | 控制策略关联数据库 |
policy.DetachDatabasesFromPolicy | 移除控制策略关联的数据库 |
policy.AttachAppsToPolicy | 控制策略关联应用 |
policy.DetachAppsFromPolicy | 移除控制策略关联的应用 |
policy.SetPolicyUserScope | 设置指定控制策略的用户生效范围 |
policy.SetPolicyAssetScope | 设置指定控制策略的资产生效范围 |
policy.SetHostAccountToPolicy | 设置指定控制策略关联主机的账户 |
policy.SetDatabaseAccountToPolicy | 设置指定控制策略关联数据库的账户 |
policy.SetAppAccountToPolicy | 设置指定控制策略关联数据库的账户 |
policy.SetAssetGroupAccountNamesToPolicy | 设置指定控制策略关联资产组的账户 |
policy.GenerateApproveCommand | 生成命令审批记录 |
policy.CancelApproveCommand | 取消命令审批 |
policy.AcceptApproveCommand | 允许命令审批 |
policy.RejectApproveCommand | 拒绝命令审批 |
policy.GenerateApproveCommand | 创建一条命令审批 |
task.CreatePasswordTask | 创建改密任务 |
task.ModifyPasswordTask | 更新改密任务 |
task.DeletePasswordTask | 删除改密任务 |
task.AttachHostAccountsToPasswordTask | 给改密任务关联主机账号 |
task.DetachHostAccountsFromPasswordTask | 解除改密任务关联的主机账号 |
task.ExecutePasswordTask | 执行改密任务 |
task.CancelPasswordTask | 取消改密任务 |
task.EnablePasswordTask | 启用改密任务 |
task.ExportPasswordTaskHistory | 导出改密任务历史 |
system.DeleteAuditSessionVideo | 删除会话录像文件 |
system.ModifyInstanceTwoFactor | 修改双因子认证配置 |
system.InterruptAuditSession | 阻断会话 |
system.ImportBastionHostConfig | 导入配置备份 |
system.ExportBastionHostConfig | 导出配置备份 |
system.ModifyInstanceLDAPAuthServer | 修改LDAP认证服务器配置 |
system.ModifyInstanceADAuthServer | 修改AD认证服务器配置 |
system.AddInstanceMember | 添加实例RD成员账户 |
system.RemoveInstanceMember | 移除实例RD成员账户 |
system.ModifyInstanceTLSConfig | 修改TLS安全性配置 |
system.ModifyDataEncryptionConfig | 修改数据加密方式配置 |
system.VerifyUserInfoSignature | 用户关键信息验签 |
system.BindIDaaSInstance | 绑定IDaaS实例 |
system.UnbindIDaaSInstance | 解绑IDaaS实例 |
system.ModifyInstanceLoginPolicy | 修改用户登录配置和用户锁定策略配置 |
system.ModifyInstanceUserPolicy | 修改用户密码安全配置和用户状态配置 |
system.CreateInstanceADAuthServer | 创建实例AD认证服务器 |
system.DeleteInstanceADAuthServer | 删除实例AD认证服务器 |
system.ModifyInstanceIDaaSConfig | 修改已绑定的IDaaS实例配置 |
system.ModifyInstanceOperationConfig | 修改实例运维配置 |
system.ModifyInstanceAssetPolicy | 修改连通性状态检查周期配置 |
system.AddInstanceNotificationReceiveUser | 添加消息通知告警管理员 |
system.RemoveInstanceNotificationReceiveUser | 移除消息通知告警管理员 |
system.ModifyInstanceNotificationConfig | 修改消息通知配置 |
system.ModifyInstanceStorePolicy | 修改会话录像自动删除配置 |
system.ModifyInstanceSessionPolicy | 修改会话列表自动清理配置 |
audit.DownloadOperationEventsBackup | 下载运维事件日志备份 |
audit.ExportOperationAuditReport | 导出运维报表 |
audit.DownloadAutoOperationTaskOutput | 下载自动运维任务结果 |
asset.CreateHostShareKey | 创建共享密钥 |
asset.ModifyHostShareKey | 编辑共享密钥 |
asset.DeleteHostShareKey | 删除共享密钥 |
asset.AttachHostAccountsToHostShareKey | 共享密钥关联主机账号 |
asset.DetachHostAccountsFromHostShareKey | 取消主机账号和共享密钥关联 |
asset.CreateNetworkDomain | 创建网络域 |
asset.ModifyNetworkDomain | 编辑网络域 |
asset.DeleteNetworkDomain | 删除网络域 |
asset.MoveHostsToNetworkDomain | 修改主机所属网络域 |
asset.MoveDatabasesToNetworkDomain | 修改数据库所属网络域 |
authorization.CreateRule | 创建授权规则 |
authorization.ModifyRule | 修改授权规则 |
authorization.DeleteRule | 删除授权规则 |
authorization.EnableRule | 启用授权规则 |
authorization.DisableRule | 禁用授权规则 |
authorization.ExportAuthorizationRelation | 导出授权关系 |
operation.CreateOperationTicket | 创建运维审批工单 |
operation.AcceptOperationTicket | 允许运维申请 |
operation.RejectOperationTicket | 拒绝运维申请 |
operation.CancelOperationTicket | 取消运维申请 |
task.CreateAutoOperationTask | 新建运维任务 |
task.ModifyAutoOperationTask | 修改运维任务 |
task.DeleteAutoOperationTask | 删除运维任务 |
task.StartAutoOperationTask | 开始运维任务 |
task.StopAutoOperationTask | 停止运维任务 |
task.CreateAutoOperationScript | 新建运维脚本 |
task.ModifyAutoOperationScript | 修改运维脚本 |
task.DeleteAutoOperationScript | 删除运维脚本 |
task.AcceptOperationTaskApproval | 允许自动运维任务工单 |
task.RejectOperationTaskApproval | 拒绝自动运维任务工单 |
task.CancelAutoOperationTask | 取消运维任务申请 |
asset.ImportKMSSecretsForHost | 导入KMS凭据 |
operation.ConnectAsset | 连接资产 |
operation.LoginAsset | 登录资产 |
operation.LogoutAsset | 登出资产 |
operation.SetOperationSSOConfig | 修改单点登录运维终端设置 |
operation.ModifyOperationUserProfile | 运维员修改个人信息 |
asset.CreateAppServer | 创建应用服务器 |
asset.ModifyAppServer | 修改应用服务器 |
asset.DeleteAppServers | 删除应用服务器 |
asset.SyncAppServerAccount | 同步应用服务器账号 |
asset.CreateAppTool | 创建远程客户端工具 |
asset.ModifyAppTool | 修改远程客户端工具 |
asset.DeleteAppTools | 删除远程客户端工具 |
asset.CreateApp | 创建应用 |
asset.ModifyApp | 修改应用 |
asset.DeleteApps | 删除应用 |
asset.DeleteApp | 删除单个应用 |
asset.CreateAppAccount | 创建应用账号 |
asset.ModifyAppAccount | 修改应用账号 |
asset.DeleteAppAccounts | 删除应用账号 |
asset.AttachAppAccountsToUser | 添加用户已授权的应用账号 |
asset.DetachAppAccountsFromUser | 删除用户已授权的应用账号 |
asset.AttachAppAccountsToUserGroup | 添加用户组已授权的应用账号 |
asset.DetachAppAccountsFromUserGroup | 删除用户组已授权的应用账号 |