手册下载
目 录
通过配置AD认证可以实现用户帐号登录运维审计系统时使用AD进行集中身份验证。
请使用超级管理员进行以下操作。
通过配置LDAP认证可以实现用户帐号登录运维审计系统时使用LDAP进行集中身份验证。
在配置LDAP前,请确保您已经理解了LDAP相关的概念和术语。
请使用超级管理员进行以下操作。
RADIUS 是一种用于在需要认证其链接的网络访问服务器(NAS)和共享认证服务器之间进行认证、授权和记帐信息的文档协议。RADIUS在运维审计系统中,主要体现的是认证功能。
请使用超级管理员进行以下操作。
动态口令的基本认证原理是认证双方使用同一个共享密钥对时间进行密码算法计算,之后比较计算值是否一致从而进行认证。TOTP(基于时间的一次性口令)使用加密散列函数将密钥与当前时间戳结合,来生成一次性口令。TOTP缺省每60秒产生一个新口令,要求客户端和服务器能够十分精确的保持正确的时钟,客户端和服务端基于时间计算的动态口令才能一致。
手机令牌是TOTP在手机客户端上的实现。运维审计系统的手机令牌适用于双因子认证场景,即手机令牌和其他认证方式(例如本地密码、AD/LDAP和RADIUS认证)结合使用。本例介绍本地密码+手机令牌的双因子认证。
请使用角色为超级管理员的帐号登录执行以下操作。
以下为用户mobile的登录过程。
本文以使用Google Authenticator为例进行介绍。
认证方式1的密码+空格+6位手机令牌
本节以配置HTTP短信网关,并创建一个使用短信认证的用户,通过该用户完成登录认证为例,介绍运维审计系统短信认证功能的配置和使用。
在完成了这些配置之后,使用相应用户登录运维审计系统需要输入短信验证码完成认证。
参数 | 取值 | 说明 |
---|---|---|
网关类型 | HTTP短信网关 | |
URL | http://10.10.66.13:8099 | 短信网关的地址和端口号。 |
API参数 | mobile=<%mobile%>,content=<%content%> | 发送短信内容使用的API参数,格式为arg=value,多个API参数使用“,”进行分隔。请根据短信网关厂商的API文档进行填写。其中<%mobile%>表示手机号,<%content%>表示短信内容,登录认证时即为验证码。 |
字符编码 | UTF-8 | GBK、UTF-8或ASCII,与HTTP短信网关的设置保持一致。 |
发送方式 | POST | 发送短信的HTTP消息类型,取值包括POST和GET。 |
参数 | 取值 | 说明 |
---|---|---|
认证类型 | HTTP | 启用HTTP短信网关后自动显示为HTTP。 |
消息过期时间(分钟) | 2 | 认证消息过期时间。整数形式,单位是分钟,取值范围是1~5,缺省值是2。 |
双因子认证名称 | 密码+短信 | |
认证方式1 | 本地密码 | |
认证方式2 | 短信认证 |
待使用短信认证的用户信息如下:
参数 | 取值 | 说明 |
---|---|---|
帐号/姓名 | sms/sms | |
身份验证 | 密码+短信 | 选取已配置的包含短信认证的双因子认证。 |
密码 | password | |
手机号码 | 1888888888 | 使用短信认证时必须配置手机号码,用于接收短信。需要保证该手机号码在短信网关的短信发送列表内。 |
配置短信网关
配置认证方式
添加使用短信认证的用户
验证使用短信认证登录
POST / HTTP/1.1
Accept-Encoding: identity
Content-Length: 28
Host: 10.10.66.13:8099
Content-Type: application/x-www-form-urlencoded
Connection: close
User-Agent: XXX
mobile=18888888888&content=894616
通过配置USB Key认证,可以实现当用户登录运维审计系统的Web界面时必须使用专门的USB Key才能完成认证。
USB Key是一种使用USB接口的硬件设备,它可以存储用户的私钥以及数字证书。一个USB Key设备可以签发多个签名密钥对和证书,一个签名密钥对和证书与一个用户严格对应。用户必须使用该USB Key设备以及对应的签名密钥对和证书来完成登录认证。
USB Key认证,可以作为单独的认证方式,也可以作为双因子认证的第二重认证方式。同时,运维审计系统支持跨站点签发USB Key,如果部署了多站点,在某一站点签发了USB Key,该USB Key也可以在其他站点使用。
超级管理员请参考配置USB Key,启用USB Key并为待使用USB Key的用户签发USB Key;签发了USB Key的用户请参考使用USB Key完成登录认证进行登录;以上两项操作,均需要先完成安装USB Key控件。
配置USB Key和完成USB Key登录认证,都需要安装USB Key控件。
使用USB Key登录认证,需要超级管理员先完成USB Key的配置。
启用USB Key认证
设置用户使用USB Key认证
签发USB Key
如果有多个USB Key设备,需要超级管理员依次插入USB Key设备,并分别完成USB Key的签发。
超级管理员完成配置USB Key并为用户签发USB key后,用户可以使用USB Key完成登录认证。
运维审计系统支持基于时间的动态令牌认证。动态令牌可以独立作为一种认证方式,也可以和其他认证方式结合使用形成双因子认证方式。
TOTP (基于时间的一次性口令)使用加密散列函数将密钥与当前时间戳结合,来生成一次性口令。TOTP定期产生一个新口令,要求客户端和服务器能够十分精确的保持正确的时钟,客户端和服务端基于时间计算的动态口令才能一致。使用TOTP令牌不需要令牌和运维审计系统之间保持网络通信,也不需要其他额外的认证服务器。
请使用角色为超级管理员的帐号登录执行以下操作。
PIN码使用本地密码的安全性设置,具体配置请参考《运维审计系统Web配置指导》中系统设置章节下的登录认证:配置本地密码参数。
当系统时钟慢于令牌时钟时,时钟漂移值为正数;当系统时钟快于令牌时钟时,时钟漂移值为负数。
参数 | 说明 |
---|---|
帐号 | 登录帐号 |
姓名 | 帐号登录者的真实姓名 |
身份验证 | 动态令牌 |
令牌号 | 请选择运维审计系统已添加的动态令牌。 Note: 一个令牌最多可以绑定五个用户。令牌被用户关联后不能被删除。
|
PIN1/确认PIN1 | 用户自己登录运维审计系统使用PIN1码+动态密码。 |
PIN2/确认PIN2 | 用于会话复核。具体请参考《运维审计系统Web配置指导》用户管理章节中的配置用户(手工创建)小节。 |
下次登录时必须修改PIN1码 | 如果选中,用户首次登录时需要修改PIN1码。 |
运维审计系统支持导入LDAP用户(AD或LDAP服务器的用户)。导入运维审计系统的用户的缺省角色是操作员、状态是活动。
本节将详细介绍批量导入LDAP用户的操作方式。已知数据信息如下表所示。
参数 | 取值 | 说明 |
---|---|---|
LDAP地址 | 10.10.16.14 | LDAP服务器的IP地址和端口,缺省端口号是389,如果使用SSL是636。 Note: 如果服务器的端口号是缺省的389或者636,仅输入IP地址即可;如果不是,输入格式为IP地址:端口号。
|
认证方式 | 密码认证 | |
baseDN | cn=root,dc=example,dc=com | 查询用户DN。 |
密码 | 123456 | 查询用户的密码。 |
baseDN | ou=People,dc=example,dc=com | 登录运维审计系统的用户DN的范围。 |
objectClass | objectClass=person | 选择设置用户所属的分组。 |
参数 | 说明 |
---|---|
CA | LDAP服务器的CA证书,单击浏览选择文件上传。 |
CERT | 运维审计系统的客户端证书CERT,单击浏览选择文件上传。 |
KEY | 运维审计系统的客户端证书对应的KEY,单击浏览选择文件上传。 |
允许忽略无效证书 | 如果选中,运维审计系统不对LDAP服务器的证书进行合法性检查;如果不选,运维审计系统将对LDAP服务器的证书进行合法性检查,对于使用非知名CA签发证书的LDAP服务器,请务必上传CA证书。 |
参数 | 取值 | 说明 |
---|---|---|
帐号 | uid | 置将LDAP服务器上的用户的什么属性作为运维审计系统的帐号。缺省值为AD中的用户名字段sAMAccountName。 Note: Open
LDAP服务器且使用用户名字段作为帐号,此处就要修改为uid。
|
姓名 | displayName | 设置将LDAP服务器上的什么属性作为运维审计系统的姓名,缺省值为displayName。 |
导入时,如果运维审计系统上已存在相同的帐号,该帐号导入失败。
运维审计系统支持通过X.509证书对用户进行身份认证。
本节以超级管理员配置X.509证书认证,并要求操作员opt01登录运维审计系统的Web界面时需要验证X.509证书为例,详细介绍X.509证书认证的具体配置和登录验证方式。
本节使用Windows系统和Chrome浏览器(IE可同样参考)完成用户证书的导入和访问。其他系统或浏览器的证书管理系统如不一样,请参考相应的指导完成证书导入。
已知数据信息如下表所示。
参数 | 取值 | 说明 |
---|---|---|
用户信息匹配规则 | emailAddress={EMAIL},CN={LOGIN_NAME},OU=ROOT,* | 匹配用户证书Subject内容的规则,使用正则表达式表示,各主题之间用英文“,”分隔。 本例中,该取值表示用户所使用的证书中,emailAddress必须匹配用户在运维审计系统中的邮箱,CN(commonName)必须匹配用户在运维审计系统中的用户名,且OU必须为ROOT。
Note: 支持以下变量名。本例中CN使用{LOGIN_NAME}进行匹配,未使用{USER_NAME}。
|
受信任根证书 | CA.crt | 单击浏览,上传签发用户证书的根证书(扩展名可以为pem、crt、cert)。 |
验证深度 | 2 | 证书的验证深度。整数形式,取值范围是1~99。 |
参数 | 取值 | 说明 |
---|---|---|
countryName | CN | 国家名称 |
stateORProvinceName | ZheJiang | 州或省份名称 |
localityName | HangZhou | 地区名称 |
organizationName | AAA | 机构名称 |
organizationalUnitName | ROOT | 机构单位名称。按本例的匹配规则必须设置为ROOT。 |
commonName | opt01 | 通用名称。按本例的匹配规则,必须与运维审计系统的登录用户名完全一致。 |
emailAddress | opt01@example.com | 邮箱地址。按本例的匹配规则,必须与该用户在运维审计系统中填写的邮箱完全一致。 |
配置X.509证书认证
X.509证书登录认证
中间证书:
用户证书:
中间证书:
用户证书:
Windows资产加入AD域控制器后,通过域帐号访问该目标资产时,运维审计系统支持自动代填域帐号、密码和域名。
本节以将Windows server 2012资产加入域,并通过域帐号访问为例,详细介绍在运维审计系统中通过域帐号实现管理和访问Windows资产的具体方法。已知数据信息如下表所示。
系统 | 数据 | 说明 |
---|---|---|
AD域控制器 |
|
待添加的域帐号需要配置远程登录权限并添加Domain Admins权限,用于登录Windows资产。 |
Windows资产 |
|
参数 | 取值 | 说明 |
---|---|---|
名称 | Windows资产访问 | 动态权限的名称。字符串格式,长度范围是1~200个字符。 |
规则模板 | Default | 动态权限引用的规则模板。 |
用户 | 全部用户 | 设置能够访问资产的用户。 |
资产 | Windows-01 | 设置待访问的目标资产。 |
协议 | 全部协议 | 访问目标资产使用的协议。 |
帐号 | 全部帐号 | 访问目标资产使用的帐号。 |
Windows资产加入AD域控制器
验证Windows资产是否成功加入域
在运维审计系统中创建Windows域
使用域帐号登录目标资产时需要先在运维审计系统中创建该域。如果已经创建了可以忽略本步骤。
配置域帐号
新建Windows资产并关联域帐号
增加访问权限
通过域帐号访问Windows资产
在完成应用发布后,用户可以在创建资产时勾选对应的客户端,在访问Oracle数据库资产时,运维审计系统将连接到应用发布服务器,通过服务器上已安装的应用客户端访问该资产。
本节以超级管理员新增一个Oracle数据库资产并通过已发布的Toad客户端进行访问为例,详细介绍Oracle数据库管理和访问的具体方法。已知数据信息如下表所示。
参数 | 取值 | 说明 |
---|---|---|
资产名称 | Oracle数据库 | 资产在运维审计系统上的名称。字符串格式,长度范围是1~200个字符。 |
连接方式 | 服务名 | 数据库的连接方式。 |
资产IP | 10.10.16.136 | 目标数据库的IP地址或域名和服务端口,IP地址支持IPv4和IPv6;域名仅支持IPv4,最大长度是200个字符。 |
服务名 | orcl9i.ad2003 | 数据库的ServiceName。 |
客户端 | Toad | 访问资产使用的客户端软件。 |
系统帐号/密码 | sys/password | 目标数据库的登录帐号和登录密码。 |
参数 | 取值 | 说明 |
---|---|---|
名称 | Oracle访问 | 动态权限的名称。字符串格式,长度范围是1~200个字符。 |
规则模板 | Default | 动态权限引用的规则模板。 |
用户 | 全部用户 | 设置能够访问资产的用户。 |
资产 | Oracle数据库 | 设置待访问的目标资产。 |
协议 | 全部协议 | 访问目标资产使用的协议。 |
帐号 | 全部帐号 | 访问目标资产使用的帐号。 |
新建Oracle数据库资产
增加访问权限
通过Toad客户端访问建立的Oracle数据库资产
在完成应用发布后,用户可以在创建资产时勾选对应的客户端,在访问SQL Server数据库资产时,运维审计系统将连接到应用发布服务器,通过服务器上已安装的应用客户端访问该资产。
本节以超级管理员新增一个MSSQL数据库资产并使用已发布的Ssms客户端访问该资产为例,详细介绍MSSQL数据库管理和访问的具体方法。已知数据信息如下表所示。
参数 | 取值 | 说明 |
---|---|---|
资产名称 | MSSQL数据库 | 资产在运维审计系统上的名称。字符串格式,长度范围是1~200个字符。 |
资产IP | 10.10.16.133 | 目标数据库的IP地址或域名和服务端口,IP地址支持IPv4和IPv6;域名仅支持IPv4,最大长度是200个字符。 |
客户端 | Ssms | 访问资产使用的客户端软件。 |
系统帐号/密码 | sa/password | 目标数据库的登录帐号和登录密码。 |
参数 | 取值 | 说明 |
---|---|---|
名称 | MSSQL访问 | 动态权限的名称。字符串格式,长度范围是1~200个字符。 |
规则模板 | Default | 动态权限引用的规则模板。 |
用户 | 全部用户 | 设置能够访问资产的用户。 |
资产 | MSSQL数据库 | 设置待访问的目标资产。 |
协议 | 全部协议 | 访问目标资产使用的协议。 |
帐号 | 全部帐号 | 访问目标资产使用的帐号。 |
新建MSSQL数据库资产
增加访问权限
通过Ssms客户端访问建立的MSSQL数据库资产
MSSQL数据库服务器所在的Windows加入AD域控制器后,可以通过域帐号访问该MSSQL数据库。当该数据库已在运维审计系统纳管,访问时运维审计系统需要自动代填域帐号、密码和域名。
本节以将MSSQL数据库资产加入域,并通过域帐号访问为例,详细介绍在运维审计系统中通过域帐号实现MSSQL数据库资产的管理和访问的具体方法。已知数据信息如下表所示。
系统 | 数据 | 说明 |
---|---|---|
AD域控制器 |
|
域帐号ad002已配置远程登录权限并添加Domain Admins权限。 |
MSSQL数据库 |
|
参数 | 取值 | 说明 |
---|---|---|
名称 | MSSQL数据库访问 | 动态权限的名称。字符串格式,长度范围是1~200个字符。 |
规则模板 | Default | 动态权限引用的规则模板。 |
用户 | 全部用户 | 设置能够访问资产的用户。 |
资产 | MSSQL-01 | 设置待访问的目标资产。 |
协议 | 全部协议 | 访问目标资产使用的协议。 |
帐号 | 全部帐号 | 访问目标资产使用的帐号。 |
在MSSQL数据库中添加域帐号登录名
验证域帐号是否可以登录MSSQL数据库
在运维审计系统中创建Windows域
使用域帐号登录目标资产时需要先在中运维审计系统创建该域。如果已经创建了可以忽略本步骤。
配置域帐号
新建MSSQL资产并关联域帐号
增加访问权限
通过域帐号访问MSSQL数据库资产
在完成应用发布后,用户可以在创建资产时勾选对应的客户端,在访问DB2数据库资产时,运维审计系统将连接到应用发布服务器,通过服务器上已安装的应用客户端访问该资产。
本节以超级管理员新增一个IBM DB2数据库资产并使用已发布的 ToadForDB2 客户端访问该资产为例,详细介绍IBM DB2数据库管理和访问的具体方法。已知数据信息如下表所示。
参数 | 取值 | 说明 |
---|---|---|
资产名称 | DB2数据库 | 资产在运维审计系统上的名称。字符串格式,长度范围是1~200个字符。 |
数据库名 | DB2115 | 数据库的名称。字符串格式,长度范围是1~30个字符。 |
资产IP | 10.10.16.115 | 目标数据库的IP地址或域名和服务端口,IP地址支持IPv4和IPv6;域名仅支持IPv4,最大长度是200个字符。 |
客户端 | ToadForDB2 | 访问资产使用的客户端软件。 |
系统帐号/密码 | admin/password | 目标数据库的登录帐号和登录密码。 |
参数 | 取值 | 说明 |
---|---|---|
名称 | DB2访问 | 动态权限的名称。字符串格式,长度范围是1~200个字符。 |
规则模板 | Default | 动态权限引用的规则模板。 |
用户 | 全部用户 | 设置能够访问资产的用户。 |
资产 | DB2数据库 | 设置待访问的目标资产。 |
协议 | 全部协议 | 访问目标资产使用的协议。 |
帐号 | 全部帐号 | 访问目标资产使用的帐号。 |
新建IBM DB2数据库资产
增加访问权限
通过ToadForDB2客户端访问建立的IBM DB2数据库资产
本节将新增一个B/S资产,并使用已发布的Chrome浏览器访问该资产为例,详细介绍B/S资产管理和访问的具体方法。
已知数据信息如下表所示:
参数 | 取值 | 说明 |
---|---|---|
资产名称 | Node01 | 资产的名称。字符串格式,长度范围是1~200个字符。 |
URL | https://10.2.105.3 | 访问资产的web界面的URL地址。 |
客户端 | Chrome | 访问资产使用的客户端软件。 |
系统帐号/密码 | admin/password | 目标资产的登录帐号和登录密码。 |
新建B/S资产
添加登录帐号
增加访问权限
通过Chrome浏览器访问建立的B/S资产
如果代填脚本配置正确,运维审计系统将使用托管的帐号密码自动完成登录代填;如登录代填失败,将停留在登录界面。
本节以将一台Radmin服务器新增为一个C/S资产,并使用已发布的Radmin客户端访问该资产为例,详细介绍C/S资产管理和访问的具体方法。
已知数据信息如下表所示:
参数 | 取值 | 说明 |
---|---|---|
资产名称 | Radmin | 资产的名称。字符串格式,长度范围是1~200个字符。 |
资产IP | 10.10.16.11 | 目标资产的IP。 |
客户端 | Radmin | 访问资产使用的客户端软件。 |
端口号 | 4899 | 目标资产的Radmin服务的端口号。 |
系统帐号/密码 | admin/password | 访问目标资产使用的帐号。 |
新建C/S资产
增加访问权限
通过Radmin客户端访问建立的C/S资产
C/S资产的帐号密码代填使用内置的代填脚本,如内置的代填脚本无法代填成功,将停留在登录界面。
对等价资产中任意一个资产进行运维审计系统上的配置修改,部分配置会自动同步到等价资产中的其他成员。
运维审计系统仅会对资产的部分配置进行同步,不同资产类型被同步的配置不相同,具体请参见《运维审计系统Web配置指导》的配置等价资产章节。对于主机/网络资产,仅同步访问协议、系统帐号和责任人。
名称 | IP | 说明 |
---|---|---|
CentOS7 | 10.10.33.30 | IP配置为第一台主机的实IP。 |
CentOS7-2 | 10.10.33.130 | IP配置为第二台主机的实IP。 |
VIP | 10.10.33.100 | IP配置为HA的虚IP。 |
对等价帐号中的任何一个帐号进行运维审计系统上的密码修改,改密成功后,托管密码的更新都会同步到等价帐号中的其他成员。
等价帐号一般用于资产因使用目的的不同被配置成为两种资产类型的场景。例如防火墙设备,既有SSH访问接口,又有Web访问接口,管理员会创建网络设备类型的资产以满足SSH访问,创建应用系统类型的资产以满足Web访问。这两个资产使用同一套帐号体系,帐号的密码需要进行同步。
如下图所示,资产A是网络设备资产,资产B是B/S应用系统资产,将资产A的帐号1和资产B的帐号1配置为等价帐号。配置管理员对资产A上的帐号1进行改密并更新托管的密码后,也会同步更新资产B上的帐号1托管的密码。
系统 | 数据 | 说明 |
---|---|---|
运维审计系统 |
|
运维审计系统上接收改密通知和密码备份文件的用户。 |
网络设备资产 |
|
本例中将普通帐号test设置为等价帐号,并通过对网络设备资产设置改密计划进行改密。 |
应用系统资产 |
|
本节以新增一个H3C Comware资产,并使用Telnet客户端访问该资产为例,详细介绍网络设备资产管理和访问的具体方法。
已知数据信息如下表所示:
参数 | 取值 | 说明 |
---|---|---|
资产名称 | H3C Comware | 资产的名称。字符串格式,长度范围是1~200个字符。 |
资产IP | 10.10.66.100 | 目标资产的IP。 |
系统帐号/密码 | admin/password | 访问目标资产使用的帐号。 |
增加访问权限
通过Telnet客户端访问建立的H3C Comware资产
现新增一条test动态权限,要求操作员通过普通帐号访问运维审计系统中指定的Windows主机资产时,只允许使用剪切板的上行字符和上行文件。已知参数信息如下表所示。
参数 | 取值 | 说明 |
---|---|---|
名称 | test | 动态权限的名称。字符串格式,长度范围是1~200个字符。 |
规则模板 | test规则模板 | 动态权限引用的规则模板。 |
用户 | 指定规则:角色=操作员 | 设置能够访问资产的用户。 |
资产 | windows 2008 | 设置待访问的目标资产。 |
协议 | 全部协议 | 访问目标资产使用的协议。 |
帐号 | 指定规则:帐号类型=特权帐号 | 访问目标资产使用的帐号。 |
参数 | 取值 | 说明 |
---|---|---|
模板名称 | test规则模板 | 定义该规则模板名称。 |
控制策略 | 允许访问 | 选择该条策略禁止或允许访问。 |
剪贴板 | 上行字符和上行文件 | 针对图形会话的访问,能否使用剪切板上下行。 |
剪贴板长度限制 | 1024 | 仅当剪贴板勾选了上行字符或下行字符时显示该参数。当图形会话访问资产时,如复制字符大于或等于该限制,复制无效。 默认无限制。 |
事件级别 | NOTICE | 访问资产生成事件的事件级别,在访问资产后运维审计系统发送的告警日志中显示。 |
标题 | --特权帐号访问-- | 访问资产时生成事件的标题名称,最大长度为200个字符,在访问资产后运维审计系统发送的告警日志中显示。 |
新增规则模板
新增动态权限
变更单是一个Excel表格,在上面可以填写名称、申请人、到期时间、使用人、使用资产、访问帐号、协议等信息。将填写好的变更单上传到运维审计系统形成访问权限。
现要求admin替opt01申请一个在规定时间内使用windows 2008主机资产的变更单,已知数据如下表所示。
参数 | 取值 | 说明 |
---|---|---|
申请单名称 | 变更单申请 | 变更申请单的名称。字符串格式,长度范围是1~128个字符。 |
申请人帐号 | admin | 申请人的帐号,该帐号必须在运维审计系统上存在且处于活动状态。 |
部门 | ROOT | 变更单所属的部门。 |
到期时间 | 2019/05/31 | 申请单中权限到期日期和时间。到期时间可以设置小时和分钟,小时和分钟都为可选设置。 |
申请原因 | 日常巡检 | 变更单申请原因。 |
权限 | 使用人:opt01 资产:10.1.2.10 帐号:administrator 协议:telnet、rdp |
变更单申请的权限清单。一个变更单中可以有多条权限,一条权限对应一行。每条权限包含以下字段:
|
单击变更单对应的详情,可以查看变更单的详细信息。
会话复核要求特定的用户在访问特定的资产或执行特定的操作时,必须由特定的复核人进行复核之后,才能在资产上执行各种操作,从而可以对操作用户访问资产和执行命令进行控制,以减小操作用户访问资产及执行操作可能存在的风险。
现要求操作员通过administrator帐号访问windows 2008主机资产时需要超级管理员或配置管理员进行会话复核,在触发会话复核后,运维审计系统将发送告警日志。已知数据信息如下表所示。
参数 | 取值 | 说明 |
---|---|---|
会话复核名称 | 会话复核test | 会话复核规则的名称。该名称为一个长度1~200的字符串,且全局唯一。 |
复核人 |
|
触发会话复核后,执行复核操作的用户。 |
操作用户 |
|
需要进行会话复核的用户。 |
资产 | 10.1.2.10 | 建立会话时需要进行复核的资产。 |
帐号 | administrator | 使用该资产帐号访问资产时需要进行会话复核。 |
事件级别 | NOTICE | 触发会话复核的事件级别,在触发会话复核后运维审计系统发送的告警日志中显示。 |
标题 | --访问windows 2008资产-- | 触发会话复核时生成事件的标题名称,最大长度为200个字符,在触发会话复核后运维审计系统发送的告警日志中显示。 |
配置会话复核规则
配置了会话复核后,操作用户访问windows 2008主机资产时,在会话启动前要求选择会话复核人,该会话复核人将在此处添加的会话复核人中选取。
如需单独设置帐号,去勾选全部帐号,在下方的对话框中输入需要添加的帐号,并按回车确定。
触发会话复核
此时,页面将出现如下所示的提示信息。
完成会话复核
管理员可以在Web界面的高危命令菜单中定义各种规则,针对特定的用户、资产、帐号启用特定的高危命令模板,从而对操作用户在字符会话中的行为进行控制。
新增一条高危命令,要求操作员在Linux资产上执行mkdir
命令时触发高危命令,只有超级管理员或配置管理员复核后,mkdir
命令才能执行。已知数据信息如下表所示。
参数 | 取值 | 说明 |
---|---|---|
命令模板名称 | mkdir执行复核 | 用于标识一个命令模板,全局唯一,长度为1~200的字符串。 |
缺省策略 | 允许 | 取值包括:
|
执行动作 | 需复核 | 执行动作包括:允许、拒绝、终止会话、需复核和通知。 |
命令控制 | mkdir | 命令控制可以输入正则表达式,通过回车分隔命令,最多512个字符。 |
参数 | 取值 | 说明 |
---|---|---|
高危命令名称 | mkdir | 长度为1~200的字符串,且全局唯一。 |
命令模板 | mkdir执行复核 | |
复核人 |
|
触发高危命令后,执行复核高危命令操作的用户。 |
操作用户 |
|
被添加的用户在执行操作时会触发高危命令。 |
资产 | Cent OS 7 | 在被添加的资产上执行操作时会触发高危命令。 |
帐号 | root | 仅当使用该帐号访问资产并执行操作时会触发高危命令。 |
事件级别 | NOTICE | 触发高危命令的事件级别,在运维审计系统发送的告警日志中显示。 |
标题 | --触发高危命令-- | 触发高危命令时生成事件的标题名称,最大长度为200个字符,在运维审计系统发送的告警日志中显示。 |
新增高危命令模板
mkdir
,完成后单击保存。配置高危命令
配置了高危命令复核人后,当操作用户执行mkdir
操作命令时,运维审计系统会将命令复核提醒发送给admin和config01,由其中任意一人完成命令复核。
管理员也可以选中排除以下帐号,然后输入要排除的帐号,多个帐号之间用英文逗号","分隔。
触发高危命令
mkdir AAA
,完成后单击回车。完成高危命令复核
mkdir AAA
操作执行成功。可以通过ls
命令查看具体执行结果。
对于部分资产,当操作员没有访问权限时,可以通过工单来申请资产的访问权限。超级管理员可以提前设置工单的审批模板,用以审批工单。
超级管理员创建一个审批资产权限的审批模板。
操作员新建一条申请资产工单,要求操作员opt01通过工单为自己申请Cent OS 7主机资产的root帐号访问权限。
已知参数信息如下所示。
参数 | 取值 | 说明 |
---|---|---|
模版名称 | 申请资产 | 系统默认值,不可修改 |
工单 | 申请资产 | 系统默认值,不可修改 |
审批级别 | 一级 | 该工单将经过几层审批,默认一级。取值可选:一级、二级、三级 |
审批规则 | 手动指定审批人为:配置管理员 | 指定每一层审批的审批人。可选值:自动分配、手动指定。
Note: 配置了多级审批后,一级审批人完成审批后,将由二级审批人、三级审批人依次完成审批。每一级中只要有一个审批人批准了工单,工单就会进入到下一级审批中,各级审批都完成后,工单生效;只要有一个审批人驳回了工单,或所有审批人在工单结束时间之前都没有完成审批,该工单就将关闭。
|
参数 | 取值 | 说明 |
---|---|---|
申请人 | opt01 | 申请权限工单的用户。 |
工单标题 | opt01申请Cent OS 7主机资产 | 工单的标题。字符串格式,长度范围是1~30个字符。 |
操作类型 | 日常维护 | 用户要申请的操作类型,取值包括日常维护和定期巡检。 |
申请理由 | Linux设备日常维护 | 工单的申请理由。字符串格式,长度范围是1~512个字符。 |
开始时间/结束时间 |
|
权限生效的开始时间和结束时间。 开始时间和结束时间使用的是运维审计系统的系统时间,而非本地PC的时间。 |
资产 | 10.2.102.11 | 待添加权限的资产。 |
协议 | SSH、Telnet和XDMCP | 使用人允许访问资产使用的协议。 |
放行命令 |
|
放行命令可以直接填写完整的命令,也可以填写命令的正则表达式,最多512个字符。 |
使用人 | opt01 | 工单申请资产的实际使用用户。 |
配置审批模板
申请工单
审批工单
配置管理员批准工单后,opt01会收到通知消息。
单击查看详情,可以查看审批后的工单的详细信息。
目标设备的帐号和密码在运维审计系统上托管后,为了保证密码的安全性,请定期备份密码。
本节以通过ZIP加密方式对密码备份信息进行加密为例,详细介绍通过邮件实现密码备份的配置方式。已知数据如下表所示。
参数 | 取值 | 说明 |
---|---|---|
邮件服务器 | 10.1.2.20 | 邮件服务器地址,可填写IP地址或者域名,必填,默认值127.0.0.1,请修改为您的邮件服务器地址。 Note: 如果使用非缺省端口(25或SSL465),请在地址后面加上
“:端口”。
|
发件人地址 | test@example.com | 发件人地址,必填,格式需要符合RFC5322中定义的E-mail地址格式。 |
发件人名称 | 消息提醒 | 发件人的显示名称。选填,任意字符,不超过64的字符。 |
服务器要求身份验证 | 勾选 | SMTP服务器是否要求进行身份验证,默认未勾选。 |
用户名/密码 | test@example.com/password |
|
参数 | 取值 | 说明 |
---|---|---|
执行时间 | 2019-06-14 18:05 | 密码备份的执行日期和时间。 |
执行间隔 | 每3月 | 密码备份的执行间隔。 |
密码分段 | 否 | 密码备份时是否分段。
|
备份方式 | 邮件备份 | 密码备份采取的方式。 |
通知用户 | admin | 密码备份时,接收邮件通知的用户。 |
配置密码备份相关参数
配置密码备份
本节以通过ZIP加密方式对密码备份信息进行加密为例,详细介绍通过文件服务器密码备份的配置方式。已知数据如下表所示。
参数 | 取值 | 说明 |
---|---|---|
地址 | 10.1.2.12 | 文件服务器的IP地址。 |
端口 | 22 | 文件服务器的端口。 SFTP默认为22 。 |
用户名/密码 | root/password | 文件服务器的用户名和密码 。 |
参数 | 取值 | 说明 |
---|---|---|
执行时间 | 2019-06-14 18:30 | 密码备份的执行日期和时间。 |
执行间隔 | 每3月 | 密码备份的执行间隔。 |
密码分段 | 否 | 密码备份时是否分段。
|
备份方式 | 文件服务器一 | 密码备份采取的方式。 |
通知用户 | admin | 密码备份时,接收信息通知的用户。 |
配置密码备份相关参数
配置密码备份
现要求通过运维审计系统为Linux系统上的本地用户改密,已知数据如下表所示。
系统 | 数据 | 说明 |
---|---|---|
运维审计系统 |
|
运维审计系统上接收改密通知和密码备份文件的用户,本例中为admin。实际使用中请根据需要配置成其他用户。 |
Linux |
|
无 |
SFTP服务器 |
|
存放密码备份文件的文件服务器。运维审计系统支持将密码备份文件发送到用户的邮箱或者上传到文件服务器,本例中为上传到文件服务器。 |
配置密码备份相关参数
配置改密计划
配置完成后,运维审计系统会按照计划中的时间执行改密。也可以单击Linux系统改密对应的立即执行,当提示立即执行改密计划时单击确定,实现手工立即执行改密计划。
验证修改后密码的正确性。
如果提示登录成功,表示root的新密码已在运维审计系统上更新,当前密码的状态为正常。
如图4.1 Windows本地用户改密组网图所示,运维人员通过运维审计系统管理目标资产。
现要求通过运维审计系统为Windows Server上的本地用户改密,已知数据如下表所示。
系统 | 数据 | 说明 |
---|---|---|
运维审计系统 |
|
运维审计系统上接收改密通知和密码备份文件的用户,本例中为admin。实际使用中请根据需要配置成其他用户。 |
Windows Server |
|
无 |
SFTP服务器 |
|
存放密码备份文件的文件服务器。运维审计系统支持将密码备份文件发送到用户的邮箱或者上传到文件服务器,本例中为上传到文件服务器。 |
运维审计系统为Windows本地用户改密支持两种方式:
改密时优先用Agent方式,Agent改密失败后再使用RPC方式。推荐使用Agent方式。
方式 | Windows Server | 运维审计系统 |
---|---|---|
RPC | Windows上已打开TCP的135、139和445端口,且Windows和运维审计系统之间的防火墙允许运维审计系统访问Windows的这些端口。 | 特权帐号或者待改密帐号的密码已在运维审计系统上托管。 Note:
|
Agent | Windows上已安装Agent,且Agent上已配置运维审计系统的IP地址和端口(缺省端口是TCP 3301),Windows和运维审计系统之间的防火墙允许Windows访问运维审计系统的TCP
3301端口。 Note: Agent的版本要和运维审计系统的版本配套。Agent下载地址:在运维审计系统的Web界面上单击admin,选择帮助,在 中下载Windows的Agent安装软件。
|
无 |
Windows本地用户改密配置完成后,运维审计系统会按照计划中的时间执行改密,您也可以手工立即执行改密计划。
执行结束后,上次改密结果中会显示执行结果。未执行改密的帐号数量也会记录在上次改密结果列表中。
登录SFTP服务器,可以看到改密前后的密码备份文件。
下载备份文件并使用ZIP密码解压缩,可以看到修改前后的密码。
如果提示登录成功,表示user01的新密码已在运维审计系统上更新,当前密码的状态为正常。
如图4.2 Windows域用户改密组网图所示,运维人员通过运维审计系统管理目标资产。
现要求通过运维审计系统为域用户改密,已知数据如下表所示。
系统 | 数据 | 说明 |
---|---|---|
运维审计系统 |
|
运维审计系统上接收改密通知和密码备份文件的用户,本例中为admin。实际使用中请根据需要配置成其他用户。 |
AD域控制器 |
|
无 |
SFTP服务器 |
|
存放密码备份文件的文件服务器。运维审计系统支持将密码备份文件发送到用户的邮箱或者上传到文件服务器,本例中为上传到文件服务器。 |
运维审计系统为Windows域用户改密支持两种方式:
改密时优先用Agent方式,Agent改密失败后再使用RPC方式。推荐使用Agent方式。
方式 | Windows域控制器 | 运维审计系统 |
---|---|---|
RPC | Windows上已打开TCP的135、139和445端口,且Windows和运维审计系统之间的防火墙允许运维审计系统访问Windows的这些端口。 | 待改密帐号的密码已在运维审计系统上托管。 |
Agent | 域控服务器上已安装Agent,且Agent上已配置运维审计系统的IP地址和端口(缺省端口是TCP
3301),域控服务器和运维审计系统之间的防火墙允许域控服务器访问运维审计系统的TCP 3301端口。 Note: Agent的版本要和运维审计系统的版本配套。Agent下载地址:在运维审计系统的Web界面上单击admin,选择帮助,在 中下载Windows的Agent安装软件。
|
无 |
Windows域用户改密配置完成后,运维审计系统会按照计划中的时间执行改密,您也可以手工立即执行改密计划。
执行结束后,上次改密结果中会显示执行结果。未执行改密的帐号数量也会记录在上次改密结果列表中。
登录SFTP服务器,可以看到改密前后的密码备份文件。
下载备份文件并使用ZIP密码解压缩,可以看到修改前后的密码。
如果提示登录成功,表示user01的新密码已在运维审计系统上更新,当前密码的状态为正常。
运维审计系统的下列功能支持发送短信:
运维审计系统支持与以下短信网关对接:
运维审计系统只能同时启用一个短信网关,本文介绍运维审计系统与阿里云短信网关对接时,如何在阿里云上配置短信服务以及如何在运维审计系统配置阿里云短信网关对接参数。
配置阿里云短信服务
短信服务发送的短信中包括短信签名和短信模版。短信签名是短信发送者的署名,表示发送方的身份;短信模版是发送的短信内容。
使用短信签名和短信模版前必须提交短信服务审核,审核通过的签名和模版才能使用在短信中。
如果已创建好签名,请在国内消息,选择签名管理,查看签名。
如果还没有创建签名,单击添加签名,按照提示设置各参数。
如果已创建好模版,请在国内消息,选择模版管理,查看模版CODE。
单击模版对应的详情,查看定义的变量。下图中的变量为“code”。
如果还没有创建模版,单击添加模版,按照提示设置各参数。
模版类型:如果只使用运维审计系统的短信认证功能,模版类型可以选择验证码或者短信通知;如果要发送会话复核、命令复核、系统告警短信,模版类型必须选择为短信通知。
模板内容:支持变量。
配置运维审计系统与阿里云短信网关对接参数
手机上收到的短信如下图所示。
运维审计系统的下列功能支持发送短信:
运维审计系统支持与以下短信网关对接:
运维审计系统只能同时启用一个短信网关,本文介绍运维审计系统与腾讯云短信网关对接时,如何在腾讯云上配置短信服务以及如何在运维审计系统配置腾讯云短信网关对接参数。
配置腾讯云短信
如果已创建好应用,请在应用列表中查看应用。下图中的开发测试即为一个应用的名称。
单击应用名称,查看SDK AppID和AppKey,其中AppKey需要单击显示才能看到具体的内容。
如果还没有创建应用,单击添加应用,按照提示设置各参数。
一个完整的短信由短信签名和短信正文内容组成,可以根据业务需求分别设置不同的模板,然后组合成最终短信内容:【短信签名】短信正文内容。
短信签名和正文模板提交后,需要审核通过后才能使用。
如果已创建好签名,请在
中查看签名。如果还没有创建签名,单击创建签名,按照提示设置各参数。
如果已创建好正文模板,请在
中查看正文模板。如果还没有创建模板,单击创建正文模板,按照提示设置各参数。
短信类型:选择普通短信。
短信内容:支持变量,变量名按顺序依次为{1}、{2}、{3}……
配置运维审计系统与腾讯云短信网关对接参数
手机上收到的短信如下图所示。
运维审计系统支持与移动云梦短信网关平台对接,允许用户通过包含短信认证的方式进行登录并执行运维操作。
运维审计系统只能同时启用一个短信网关,本文将详细介绍运维审计系统与移动云梦短信网关对接时,如何在运维审计系统配置对接参数。
参数 | 取值 | 说明 |
---|---|---|
短信类型 | 模板短信 | - |
URL | http://1*.*.*.*5:1992/sms/tempsubmit | 移动云梦短信网关的URL,必须为标准的HTTP或者HTTPS地址。 |
API参数 | ecName=***, apId=zwy**, secretKey=zwy**, sign=Hr***, templateId=d6e355a****, addSerial= | 对接移动云梦短信网关平台时,需要依次设置以下参数:
|
字符编码 | GBK | 对接移动云梦短信网关平台时,任选一个即可。 |
发送方式 | POST | 对接移动云梦短信网关平台时,任选一个即可。 |
手机上收到的短信如下图所示。
通过配置国密USB Key认证和国密签名验签服务器,可实现国密算法签名/验签、国密USB Key认证和抗抵赖性功能。
已经获取国密USB Key及配套的用户证书和PIN码(通常为12345678)。如何获取用户证书,请参考附录:检查USB Key可用性并导出证书。
项目 | 数据 | 说明 |
---|---|---|
签名验签服务器 |
|
开启校验ca根证书后,需要在签名验签服务器中导入国密USB Key的CA证书。签名验签服务器的参数和操作,请联系签名验签服务器的管理员。 |
USB Key认证用户 |
|
sign.crt即从国密USB Key中导出的签名证书。 |
Main Menu:
1. Date and Time
2. Network Configuration
3. H3C Tools
R. Reset admin
S. SSHD Management
N. Nginx Management
A. ACL Management
U. User Connection
T. System Tools
Enter selection: GMCONFIG
GM CONFIG Management:
E. ENABLE THE GM CONFIG
D. DISABLE THE GM CONFIG
0. Return
Enter selection: e
It will restart tomcat service after open gmConfig, Are you sure [y/n] y
change gmConfig from close to open
Process is end
如果数据没有篡改,会提示“完整验证通过”;否则提示“完整验证不通过”。
配置后,运维审计系统(需要插入国密USB Key)和国密浏览器(密信浏览器、红莲花安全浏览器和360企业安全浏览器)建立采用国密算法的HTTPS隧道,用于安全数据传输通道。
正常情况下,应该显示为国密算法SM2。
D:\keycheck>keycheck.exe -h
Usage of keycheck.exe:
-cont string //配置容器名,默认为Cont1
Container name to open (default "Cont1")
-enc string //生成加密证书,默认为enc.crt(和keycheck.exe同目录)
Encrypt certificate name to export (default "./enc.crt")
-encode string //配置语言模式,默认中文
language encode, zh or en (default "zh")
-example //查看使用样例
Show examples
-i Enable interactive mode //交互模式运行
-log string //生成日志文件,默认值keycheck.log(和keycheck.exe同目录)
Log file path (default "./keycheck.log") //如果输入-log "",表示不生成日志文件,直接在界面显示日志
-pin string //配置PIN码,默认为12345678
Login pin code (default "12345678")
-sign string //生成签名证书,默认为sign.crt(和keycheck.exe同目录)
Signature certificate name to export (default "./sign.crt")
-v Show version //查看工具版本
D:\keycheck>keycheck.exe -pin "12345678" -cont "Cont1" -sign "sign.crt" -enc "crt.crt" -log "./log.log"
开始检查认证功能...
Hash: 9f611476772e***b2e641b3662
Signature: a9694e5267fe16***1e99b61e
签名检测通过
认证功能检测通过
开始检查 Https 功能...
Hash: 9f611476772e***b2e641b3662
Signature: a700ce57ce***aed2da3
签名检测通过
加密检测通过
国密 HTTPS 功能检测通过
D:\keycheck>keycheck.exe -i -log "./log.log"
登录状态:未登录
容器列表(未列出):无
当前选择容器:
签名密钥序号:未导出
加密密钥序号:未导出
1.Pin码登录
2.枚举证书容器列表
3.导出证书
4.验证用户认证功能
5.验证国密 HTTPS 功能
1 //PIN码登录
-------------------------------------------------
请输入 Pin 码:
12345678 //输入PIN码
-------------------------------------------------
登录状态:已登录
容器列表(未列出):无
当前选择容器:
签名密钥序号:未导出
加密密钥序号:未导出
1.Pin码登录
2.枚举证书容器列表
3.导出证书
4.验证用户认证功能
5.验证国密 HTTPS 功能
2 //枚举证书容器列表
-------------------------------------------------
登录状态:已登录
容器列表(已列出):[Cont1]
当前选择容器:
签名密钥序号:未导出
加密密钥序号:未导出
1.Pin码登录
2.枚举证书容器列表
3.导出证书
4.验证用户认证功能
5.验证国密 HTTPS 功能
3 //导出证书
-------------------------------------------------
0. Cont1
请选择证书容器:
0 //选择容器编号
-------------------------------------------------
1.导出签名证书
2.导出加密证书
0.返回上层
1 //导出签名证书
-------------------------------------------------
请输入要导出的证书文件名(证书会生成在工具所在目录):
sign.crt //输入签名证书文件名
1.导出签名证书
2.导出加密证书
0.返回上层
2 //导出加密证书
-------------------------------------------------
请输入要导出的证书文件名(证书会生成在工具所在目录):
crt.crt //输入加密证书文件名
-------------------------------------------------
1.导出签名证书
2.导出加密证书
0.返回上层
0 //返回到主菜单
-------------------------------------------------
登录状态:已登录
容器列表(已列出):[Cont1]
当前选择容器:Cont1
签名密钥序号:1
加密密钥序号:2
1.Pin码登录
2.枚举证书容器列表
3.导出证书
4.验证用户认证功能
5.验证国密 HTTPS 功能
4 //验证用户认证功能
-------------------------------------------------
开始检查认证功能...
Hash: 9f611476772e***b2e641b3662
Signature: a9694e5267fe16***1e99b61e
签名检测通过
认证功能检测通过 //验证通过
登录状态:已登录
容器列表(已列出):[Cont1]
当前选择容器:Cont1
签名密钥序号:1
加密密钥序号:2
1.Pin码登录
2.枚举证书容器列表
3.导出证书
4.验证用户认证功能
5.验证国密 HTTPS 功能
5 //验证国密HTTPS功能
-------------------------------------------------
开始检查 Https 功能...
Hash: 9f611476772e***b2e641b3662
Signature: a700ce57ce***aed2da3
签名检测通过
加密检测通过
国密 HTTPS 功能检测通过
通过配置告警事件,可以实现身份认证成功/失败、访问特定资产、执行高危命令、会话复核以及进行字符会话时发送Syslog或邮件告警。
现要求超级管理员为操作员配置一条访问Linux主机资产的动态权限,操作员通过特权帐号访问该Linux主机资产、进行高危命令、会话复核、字符审计日志以及错误登录时发送告警信息。具体参数信息如下表所示。
参数 | 取值 | 说明 |
---|---|---|
syslog日志/通知邮件事件来源 |
|
|
syslog日志/通知邮件事件级别 | INFORMATIONAL | 只有和所选级别相同或更高的事件才会发送。如果选择NONE,表示不发送。 事件级别由低到高依次为:NONE (不发送告警事件)—>DEBUG(调试级)—>INFORMATIONAL(通知级)—>NOTICE(注意级)—>WARNING(告警级)—>ERROR(错误级)—>CRITICAL(临界级)—>ALERT(警戒级)—>EMERGENCY(致命级)。 |
远程主机 | 10.2.180.11 | Syslog服务器的IP地址,默认端口号为514,自定义端口可在IP地址后加“:端口号”,例如“10.10.16.201:8022”。 Note: 远程主机最多可配置3个。当配置多个时,向所有的远程主机发送告警事件消息。
|
协议 | UDP | 运维审计系统向Syslog服务器发送告警信息使用的协议。 |
标识 | Test | 用于配置Syslog的identifier,可以是任意字符,长度不超过30。 |
邮件收件人 | admin | 配置触发告警事件的邮件收件人。 |
本节将新建一个个即时报表,并使用预置的报表模板导出报表为例,详细介绍导出报表的具体方法。
已知数据信息如下表所示:
参数 | 取值 | 说明 |
---|---|---|
报表名称 | 用户统计 | 报表名称。用于标识一个报表,全局唯一。长度为1~30字符串。 |
报表类型 | 即时报表 | 通过手动单击生成报表,立即生成一个报表。 |
自动生成 | 否 | 表示只能手动生成该报表。 |
报表模板 | 用户基本报表 | 用于定义报表的具体内容。 |
统计起始时间点 | 2019-08-09 00:00/2019-08-10 00:00 | 导出报表的时间范围。 |
新建报表
生成报表
导出报表
本节将新建一个周期报表,并使用预置的报表模板导出报表为例,详细介绍导出报表的具体方法。
已知数据信息如下表所示:
参数 | 取值 | 说明 |
---|---|---|
报表名称 | 用户统计 | 报表名称。用于标识一个报表,全局唯一。长度为1~30字符串。 |
报表类型 | 周期报表 | 表示按固定的统计周期进行统计,每一个统计周期内统计从开始到结束的信息,并在每一个生成周期时间点上生成上一个统计周期的报表。 |
自动生成 | 是 | 表示按固定的生成周期生成。 |
周期类别 | 按日 | 表示统计周期,也表示生成周期。即按什么频率统计报表信息并生成报表。 |
报表模板 | 用户基本报表 | 用于定义报表的具体内容。报表的简要说明请在 | 中查看。
参数 | 取值 | 说明 |
---|---|---|
统计日期 | 周一 | 当周期类别为按日时,勾选需要对每周的哪几天进行统计并生成;其他情况下配置每个统计周期开始的时间点。 |
邮件发送 | 否 | 选择生成报表后是否通过邮件通知指定收件人。需要保证系统服务中的邮件服务设置正确。 |
新建报表
生成报表
查看并导出报表
本节将以在一个Linux资产中执行bash脚本为例,介绍在类Unix系统中执行脚本任务的具体方法。
脚本名称 | 内容 |
---|---|
bash.sh | 自定义。例:#!/bin/sh echo hello world |
参数 | 取值 | 说明 |
---|---|---|
任务名称 | bash | 脚本任务的名称。字符串格式,长度范围是1~30个字符。 |
目标资产 | CentOS 7 | 目标资产访问必须添加SSH协议,以及使用特权帐号登录。 |
执行方式 | 自动执行 | - |
执行时间 | 2022-05-12 15:00 | 脚本任务第一次执行的时间,包括年/月/日/时/分。 |
执行间隔 | 执行一次 | 脚本任务的执行间隔,可选项包括:执行一次、按日、按月。 |
增加脚本任务
查看执行结果
本节将以在一个网络设备资产中执行自定义脚本为例,介绍在类网络设备中执行脚本任务的具体方法。
参数 | 取值 | 说明 |
---|---|---|
任务名称 | net | 脚本任务的名称。字符串格式,长度范围是1~30个字符。 |
目标资产 | H3C Comware1 | 目标资产访问必须添加Telnet协议,以及使用特权帐号登录。 |
文件来源 | 网络资产配置命令 在下拉列表框中选择自定义 |
以自定义脚本为例。 |
配置命令 | ping 10.1.2.14 | 可直接在配置命令窗口中编辑脚本文件。 例:ping 10.1.2 14 display ip routing-table |
执行方式 | 自动执行 | - |
执行时间 | 2022-05-12 15:30 | 脚本任务第一次执行的时间,包括年/月/日/时/分。 |
执行间隔 | 执行一次 | 脚本任务的执行间隔,可选项包括:执行一次、按日、按月。 |
增加脚本任务
查看执行结果