01-正文
本章节下载: 01-正文 (6.67 MB)
目 录
通过Web方式管理系统。
(1) 在浏览器中输入https://系统管理IP,进入登录窗口。
(2) 在登录窗口中输入用户名、密码、验证码。
图1-1 登录框示意图
出厂默认Admin管理IP为:192.168.0.1 /24;出厂默认用户名/密码为:admin/admin。
(3) 单击<登录>后即可进入管理首页。
图1-2 系统首页示意图
表1-1 系统首页说明
区域编号 |
区域页面介绍 |
|
产品Logo |
|
从左向右依次为使用向导、用户名按钮 |
|
显示系统的功能菜单项:控制板、部门、用户、资产、授权、审计、工单、运维和系统 |
|
从左往右分别是本用户管理下的用户数量、主机数量、应用数量和运维规则数量 |
|
从左往右依次为一周运维次数统计、一周运维次数用户排名和一周运维次数主机排名 |
|
从左往右依次为实时监控统计、新增会话记录和最近运维记录 |
|
从左往右依次为系统运行状态(设备名称、产品描述、软硬件版本等)和许可证信息(授权类型、过期时间、最大活动连接数等) |
控制板用于显示系统的常用功能、系统运行状态、最近运维会话、系统许可信息等。
显示了能够管理的用户数量、主机数量、应用数量和授权关系数量。单击图标可进入对应的管理界面。
图2-1 用户和资产数量示意图
根据会话类型统计出一周的运维次数。
图2-2 一周运维次数示意图
根据一周运维次数对用户进行排名。
根据一周运维次数对主机进行排名。
显示当前活动的会话数量和活动的用户数量。
显示今日已产生的会话数量和会话大小。
显示最近五条具体运维记录。
系统运行状态显示内容。
图2-3 系统运行状态显示示意图
表2-1 系统运行状态显示说明
显示内容 |
内容描述 |
设备名称 |
系统型号名称 |
产品描述 |
系统名称 |
设备位置 |
产品供应商 |
序列号 |
产品序列号 |
软件版本 |
产品的软件版本号 |
硬件版本 |
产品的硬件版本号 |
系统警报 |
由运维审计系统自身产生的报警信息,如CPU、内存等使用率过高产生的报警信息 |
运行时长 |
显示系统运行的时间是多久 |
运行模式 |
是单机模式,还是双机主备模式 |
持有VIP |
是否有虚拟IP地址 |
许可证信息包括授权类型、过期时间、最大活动连接数和最大主机数。
图2-4 许可证信息显示示意图
运维审计系统引入了部门的概念,以达到数据隔离的目的。
A2000-V云运维审计系统分为标准版和高级版,本章节相关配置仅高级版支持。
部门功能在[系统/系统配置/功能设置]中关闭或启用。
部门主要有以下功能:作为容器,包含资产、用户、用户组和子部门。隔离数据,本部门管理员无法看到本部门以外的数据。
(1) 进入[部门]管理界面,单击<新建部门>。
图3-1 部门管理界面
(2) 选择<上级部门>,填写新建部门的名称。
图3-2 新建部门界面
(3) 点击<创建部门>,新部门建立完毕,可在部门管理界面查看该部门。
安全码是部门导出主机密码文件的zip包加密密码,分为两部分。运维管理员可以设置安全码前半段(KeyA),密码管理员可以设置安全码后半段(KeyB),超级管理员和部门管理员可以对安全码的两部分都进行设置。
图3-3 安全码管理界面
在部门管理页面中,可以删除部门。
请勿随意删除部门,否则会造成被删除部门中的相关数据丢失!
图3-4 删除界面
用户是用于管理运维审计系统的用户成员、部门、用户组、认证方式等功能模块。
用户管理用于管理用户成员的创建、编辑、导入、导出等功能。
(1) 进入[用户/用户管理]页面。
(2) 单击<新建用户>,进入配置页面。
标红星部分是必填项,填写信息时,请按照要求填写。
图4-2 新建用户示意图
(3) 单击<保存更改>后即可成功。
(4) 点击图4-3中的用户名称可继续编辑用户相关信息。
(1) 进入[用户/用户管理]页面。
(2) 单击<更多操作>,显示“导入用户”。
图4-4 导入用户按钮示意图
(3) 单击<导入用户>后进入“导入用户”页面。
图4-5 导入用户页面示意图
(4) 单击<下载模板文件>下载后并解压,在用户表格中编辑用户信息。
图4-6 用户导入表格模板示意图
第一列为用户名(必填项)、第二列为密码(选填项)、第三列为部门(选填项)、第四列为角色(选填项)、第五列为姓名(选填项)、第六列为邮箱(选填项)、第七列为手机(选填项)。
(5) 单击<上传文件>上传用户表。
(6) 单击<导入用户>后即可导入成功。
(1) 进入[用户/用户管理]页面。
(2) 用户列表右下角单击<导出用户>后即可查看用户表信息。
(1) 在用户列表中勾选需要删除的用户。
(2) 单击<删除>按钮即可。
(1) 在用户列表中点击需要锁定的用户。
(2) 在用户配置页面勾选“锁定这个用户”,或是在用户列表页面勾选相应的用户后点击锁定即可。
图4-7 锁定用户示意图
图4-8 锁定按钮
在用户配置页面取消“锁定这个用户”选项即可解锁,或是在用户列表界面勾选相应的用户,单击解锁按钮。
在图4-1中搜索框中输入用户名关键字,回车后即可成功过滤出用户列表,也可通过不同的部门和用户角色进行过滤。
(1) 进入[用户/用户管理]页面。
(2) 单击用户名,进入编辑页面。
(3) 单击<基本信息>,进入基本信息页面。
图4-9 编辑用户基本信息页面示意图
(4) 单击<保存更改>即可修改成功。
(1) 单击<SSH公钥>后进入配置页面。
图4-10 用户SSH公钥管理页面示意图
(2) 单击<添加SSH公钥>后,弹出配置窗口。添加公钥名称和公钥内容。
图4-11 SSH公钥添加页面示意图
(3) 单击<确定>后即可添加成功并返回配置页面。
A2000-V云运维审计系统分为标准版和高级版,本章节相关配置仅高级版支持。
具体操作步骤,请参考《双因素认证配置举例》中的“手机APP口令认证”章节。
如果用户选择“手机APP验证”方式登录,需要输入所使用的身份验证器所产生的动态口令。
图4-12 登录界面
(1) 进入页面右上角的用户个人信息页面中手机身份验证模块。
图4-13 手机身份验证器界面
(2) 根据提示信息,下载身份验证器到手机。
(3) 单击设置验证器,在手机上根据页面提示操作即可。
A2000-V云运维审计系统分为标准版和高级版,本章节相关配置仅高级版支持。
具体API接口的参数请参考《api使用手册》,主要是用于与第三平台进行数据对接与同步。
进入[个人信息/API访问键]页面中可以启用“API访问键”。
图4-15 手机身份验证器界面
用户组概念的引入主要是为了将用户打包,实现批量授权的功能。用户组管理模块用于对用户组的创建、编辑、删除以及添加用户成员等功能。
(1) 进入[用户/用户组管理]页面。
(2) 单击<新建用户组>后,进入配置页面。填写用户组名称。
图4-17 新建用户组页面示意图
(3) 单击<创建用户组>后,页面会提示创建用户组成功。
图4-18 用户组创建成功提示
(4) 点击图4-16中用户组名称可进入编辑页面,添加、删除用户组成员。
(1) 进入[用户/用户组管理]页面中。
(2) 勾选需要删除的用户组。
(3) 单击<删除>按钮后即可删除成功。
与搜索用户方法相同。
(1) 进入用户组管理界面,单击列表中的某个用户组,进入用户组信息页面。
(2) 单击[修改用户组名称],进入名称编辑页面。
图4-20 用户组名称编辑页面
(3) 单击<保存更改>。
(1) 在用户组配置页面单击<用户组成员>后,进如配置页面。
图4-21 用户组添加成员管理页面示意图
(2) 单击<添加成员>,弹出用户列表。勾选需要添加的用户
图4-22 用户添加成员列表示意图
(3) 单击<添加>后即可添加成功并自动返回配置页面。
动态令牌用于用户采用动态密码认证方式登录运维审计系统的令牌管理。
图4-23 动态令牌硬件示意图
(1) 进入[用户/动态令牌]页面中。
图4-24 动态令牌管理页面示意图
(2) 单击<导入令牌>,在弹出的打开文件对话框中选择要导入的动态令牌种子文件进行导入。
种子文件需要向动态令牌供应商申请。
(1) 进入[用户/动态令牌]页面中。
(2) 单击<操作>后,展示操作列表。
(3) 单击<绑定>后,弹出用户列表。
图4-26 绑定用户列表示意图
(4) 选择某个用户,点击<确定>即可实现绑定。
(1) 进入[用户/动态令牌]页面中。
(2) 勾选需要禁用的令牌。
(3) 单击<禁用>后,即可将该令牌变为禁用状态。
(1) 进入[用户/动态令牌]页面中。
(2) 勾选需要挂失的令牌。
(3) 单击<挂失>后,即可将该令牌变为挂失状态。
(1) 进入[用户/动态令牌]页面中。
(2) 勾选需要启用的令牌。
(3) 单击<启用>后,即可将该令牌变为启用状态。
(1) 进入[用户/动态令牌]页面中。
(2) 勾选需要解绑的令牌。
(3) 单击<解除绑定>后,即可解除该令牌与用户之间的关系。
(1) 进入[用户/动态令牌]页面中。
(2) 勾选需要删除的令牌。
图4-27 删除动态令牌页面示意图
(3) 单击<删除按钮>后,即可将该令牌删除。
(1) 进入[用户/动态令牌]页面中。
(2) 可按用户名或动态令牌序列号进行搜索,也可根据部门和令牌状态(禁用、启用、挂失等状态)进行过滤。
(1) 进入[用户/动态令牌]页面中。
(2) 找到已经绑定给用户的动态令牌,单击<操作>后出现“同步令牌”按钮。
图4-28 动态令牌管理页面示意图
(3) 单击<同步令牌>后,出现同步令牌界面,用于同步当前动态密码和下一条动态密码。
(4) 单击<确定>后即可同步成功。
当使用动态令牌的用户无法登陆运维审计系统时,由管理员在此处进行令牌同步,同步成功之后才可成功;如果同步失败,说明运维审计系统的时间与标准时间存在差异,须同步正确的时间。
USBKEY用于用户采用USBKEY认证方式登录运维审计系统的USBKEY管理。
图4-29 USBKEY硬件示意图
USBKEY仅支持IE浏览器使用!请先签发管理员USBKEY,再签发其他用户USBKEY。
(1) 使用IE浏览器登录到运维审计系统。
(2) 进入[用户/USBKEY/管理员USBKEY]页面。
图4-30 USBKEY管理页面示意图
(3) 在本地PC上插上管理员USBKEY。
(4) 单击<制作管理员USBKEY>后,弹出签发管理员USBKEY窗口。选择管理员。
图4-31 签发管理员USBKEY示意图
(5) 单击<确定>后即可签发成功。
(1) 使用IE浏览器登录到运维审计系统。
(2) 进入[用户/USBKEY/用户USBKEY]页面。
(3) 在本地PC上插上用户USBKEY和管理员USBKEY。
(4) 单击<签发USBKEY>,弹出签发USBKEY窗口。选择好需要被签发的用户。
图4-32 签发用户USBKEY示意图
(5) 单击<确定>后即可签发成功。
(1) 使用IE浏览器登录到运维审计系统。
(2) 进入[用户/USBKEY]页面,勾选需要吊销的USBKEY。
(3) 单击<吊销>后即可。
资产是用于管理目标主机的IP、协议、帐户、密码、应用发布等功能模块。
主机管理用于管理目标主机的IP、名称、协议、策略、添加、导入、导出、编辑等功能。
(1) 进入[资产/主机管理]页面。
图5-1 主机管理页面示意图
(2) 单击<新建主机>,进入新建主机配置页面。填写主机IP、主机名称、所属部门等。
图5-2 添加主机页面示意图
(3) 单击<创建主机>后提示成功添加主机。
(4) 单击主机的IP,进入相关页面,可编辑主机基本信息,主机配置信息和主机账户信息。
图5-4 主机编辑页面
(5) 单击<主机帐户/添加主机账户>,弹出新建主机帐户配置窗口;选择协议、登录模式、帐户和密码是否代填、验证是否连通。
图5-5 新建主机帐户页面示意图
表5-1 主机帐户选项说明
选项 |
描述 |
协议 |
SYSDEF代表运维人员可以在[运维/主机运维]页面中对主机选择任意协议进行运维登录 其他协议都是标准的网络协议和专用协议 |
登录模式 |
自动登录:需添加正确的账号和密码 手工登录:账号和密码留空即可 自动登录(二次登录):主要是对一些账号无法直接登录,需要通过其他账号切换登录进去,比如enable、su、super等使用环境 |
账户类型 |
分普通账户、特殊账户(enable、super) |
主机账户 |
设置账户名 |
特权账户 |
勾选后,表示当前账户为特权账户,一般设置enable、super等账户 |
使用特权账户改密 |
勾选后,表示使用当前特殊账户对账户进行改密,须结合改密计划使用,一般用于普通账户没有改密权限的情况下。 |
密码 |
设置账户的密码 |
验证 |
如需验证主机的账户和密码是否正确,请单击“验证”,提示“验证成功”代表帐户和密码正确;提示“验证失败”代表帐户或密码错误;提示“验证超时”代表网络不通 |
表5-2 RDP主机帐户选项说明
选项 |
描述 |
协议 |
RDP是windows主机的远程桌面登录协议 |
登录模式 |
自动登录和手工登录 |
自动登录 |
将正确的主机账号和密码录入运维审计系统,运维人员以后就不需要输入帐户和密码即可成功登录到目标主机进行运维操作 |
手动登录 |
无需设置主机的账户和密码,留空即可;运维人员登录目标主机时需要输入主机的帐户和密码才能登录成功 |
验证 |
如需验证主机的账户和密码是否正确,请单击“验证”,提示“验证成功”代表帐户和密码正确;提示“验证失败”代表帐户或密码错误;提示“验证超时”代表网络或协议不通 |
表5-3 SSH主机帐户选项说明
选项 |
描述 |
协议 |
SSH是linux、unix等字符型主机的远程登录协议 |
登录模式 |
自动登录、自动登录(二次登录)和手工登录 |
自动登录 |
将正确的主机账号和密码录入运维审计系统,运维人员以后就不需要输入帐户和密码即可成功登录到目标主机进行运维操作 |
自动登录(二次登录) |
用于管理2种帐户自动跳转登录,如交换机既有远程帐户又有enable命令;如果需要自动登录到enable权限下,就必须采用这种登录模式 |
手动登录 |
无需设置主机的账户和密码,留空即可;运维人员登录目标主机时需要输入主机的帐户和密码才能登录成功 |
验证 |
如需验证主机的账户和密码是否正确,请单击“验证”,提示“验证成功”代表帐户和密码正确;提示“验证失败”代表帐户或密码错误;提示“验证超时”代表网络或协议不通 |
表5-4 TELNET主机帐户选项说明
选项 |
描述 |
协议 |
TELNET是字符型主机的远程登录协议 |
登录模式 |
自动登录、自动登录(二次登录)和手工登录 |
自动登录 |
将正确的主机账号和密码录入运维审计系统,运维人员以后就不需要输入帐户和密码即可成功登录到目标主机进行运维操作 |
自动登录(二次登录) |
用于管理2种帐户自动跳转登录,如交换机既有远程帐户又有enable命令;如果需要自动登录到enable权限下,就必须采用这种登录模式 |
手动登录 |
无需设置主机的账户和密码,留空即可;运维人员登录目标主机时需要输入主机的帐户和密码才能登录成功 |
验证 |
如需验证主机的账户和密码是否正确,请单击“验证”,提示“验证成功”代表帐户和密码正确;提示“验证失败”代表帐户或密码错误;提示“验证超时”代表网络或协议不通 |
表5-5 FTP主机帐户选项说明
选项 |
描述 |
协议 |
FTP是文件传输协议 |
登录模式 |
自动登录和手工登录 |
自动登录 |
将正确的主机账号和密码录入运维审计系统,运维人员以后就不需要输入帐户和密码即可成功登录到目标主机进行运维操作 |
手动登录 |
无需设置主机的账户和密码,留空即可;运维人员登录目标主机时需要输入主机的帐户和密码才能登录成功 |
验证 |
如需验证主机的账户和密码是否正确,请单击“验证”,提示“验证成功”代表帐户和密码正确;提示“验证失败”代表帐户或密码错误;提示“验证超时”代表网络或协议不通 |
表5-6 SFTP主机帐户选项说明
选项 |
描述 |
协议 |
SFTP是加密的文件传输协议 |
登录模式 |
自动登录和手工登录 |
自动登录 |
将正确的主机账号和密码录入运维审计系统,运维人员以后就不需要输入帐户和密码即可成功登录到目标主机进行运维操作 |
手动登录 |
无需设置主机的账户和密码,留空即可;运维人员登录目标主机时需要输入主机的帐户和密码才能登录成功 |
验证 |
如需验证主机的账户和密码是否正确,请单击“验证”,提示“验证成功”代表帐户和密码正确;提示“验证失败”代表帐户或密码错误;提示“验证超时”代表网络或协议不通 |
表5-7 VNC主机帐户选项说明
选项 |
描述 |
协议 |
VNC是一种远程桌面登录协议,linux/unix/windows能安装VNC服务 |
登录模式 |
自动登录和手工登录 |
自动登录 |
将正确的主机账号(X:root)和密码录入运维审计系统,运维人员以后就不需要输入帐户和密码即可成功登录到目标主机进行运维操作 |
手动登录 |
须设置帐户名称X:root(X表示桌面号,从0开始)、密码留空即可;运维人员登录目标主机时需要输入VNC主机的密码才能登录成功 |
X:root |
表示VNC的帐户。如果VNC服务器只启用了一个5900端口,那就是0:root;如果VNC服务器同时启用了8个桌面号(即5901-5908),那就是1:root-8:root 如果主机是unix/linux类平台,则帐户名称的格式为X:root(X表示桌面号,从0开始),仅支持vnc password模式 如果主机是windows平台,则账户名称的格式为X:root(X表示桌面号,从0开始),仅支持VNC服务端的“VNC password”模式 “X”是为了实现VNC服务会启动多个桌面,且用户之间互不干扰地使用各自的桌面;所以VNC服务使用的端口号与桌面号相关,VNC服务使用的端口从5900开始,例如桌面号是“:1”,则使用的端口是5901;桌面号是“:2”,则使用的端口是5902,依次类推;基于Java的VNC客户程序Web服务端口从5800开始,它也与桌面号相关 |
验证 |
如需验证主机的账户和密码是否正确,请单击“验证”,提示“验证成功”代表帐户和密码正确;提示“验证失败”代表帐户或密码错误;提示“验证超时”代表网络或协议不通 |
表5-8 Rlogin主机帐户选项说明
选项 |
描述 |
协议 |
Rlogin是unix类主机的远程登录协议 |
登录模式 |
自动登录、自动登录(二次登录)和手工登录 |
自动登录 |
将正确的主机账号和密码录入运维审计系统,运维人员以后就不需要输入帐户和密码即可成功登录到目标主机进行运维操作 |
自动登录(二次登录) |
用于管理2种帐户自动跳转登录,如交换机既有远程帐户又有enable命令;如果需要自动登录到enable权限下,就必须采用这种登录模式 |
手动登录 |
无需设置主机的账户和密码,留空即可;运维人员登录目标主机时需要输入主机的帐户和密码才能登录成功 |
验证 |
如需验证主机的账户和密码是否正确,请单击“验证”,提示“验证成功”代表帐户和密码正确;提示“验证失败”代表帐户或密码错误;提示“验证超时”代表网络或协议不通 |
表5-9 SQL Server主机帐户选项说明
选项 |
描述 |
协议 |
SQLserver是Microsoft公司推出的一种关系型数据库系统 |
登录模式 |
自动登录和手工登录。 |
自动登录 |
将正确的主机账号和密码录入运维审计系统,运维人员以后就不需要输入帐户和密码即可成功登录到目标主机进行运维操作。 |
手动登录 |
无需设置主机的账户和密码,留空即可;运维人员登录目标主机时需要输入主机的帐户和密码才能登录成功。 |
验证 |
如需验证主机的账户和密码是否正确,请单击“验证”,提示“验证成功”代表帐户和密码正确;提示“验证失败”代表帐户或密码错误;提示“验证超时”代表网络或协议不通。 |
A2000-V云运维审计系统分为标准版和高级版,本章节相关配置仅高级版支持。
表5-10 MySQL主机帐户选项说明
选项 |
描述 |
协议 |
MySQL是关系型数据库管理系统 |
登录模式 |
自动登录和手工登录。 |
自动登录 |
将正确的主机账号和密码录入运维审计系统,运维人员以后就不需要输入帐户和密码即可成功登录到目标主机进行运维操作。 |
手动登录 |
无需设置主机的账户和密码,留空即可;运维人员登录目标主机时需要输入主机的帐户和密码才能登录成功。 |
验证 |
如需验证主机的账户和密码是否正确,请单击“验证”,提示“验证成功”代表帐户和密码正确;提示“验证失败”代表帐户或密码错误;提示“验证超时”代表网络或协议不通。 |
A2000-V云运维审计系统分为标准版和高级版,本章节相关配置仅高级版支持。
表5-11 Oracle主机帐户选项说明
选项 |
描述 |
协议 |
Oracle是甲骨文公司的一款关系数据库管理系统 |
登录模式 |
自动登录和手工登录。 |
自动登录 |
将正确的主机账号和密码录入运维审计系统,运维人员以后就不需要输入帐户和密码即可成功登录到目标主机进行运维操作。 |
手动登录 |
无需设置主机的账户和密码,留空即可;运维人员登录目标主机时需要输入主机的帐户和密码才能登录成功。 |
验证 |
如需验证主机的账户和密码是否正确,请单击“验证”,提示“验证成功”代表帐户和密码正确;提示“验证失败”代表帐户或密码错误;提示“验证超时”代表网络或协议不通。 |
服务名 |
登录服务名(servicename),实例名(SID) |
连接为 |
登录角色,支持Normal, SYSDBA, SYSASM, SYSOPER四种角色 |
A2000-V云运维审计系统分为标准版和高级版,本章节相关配置仅高级版支持。
(1) 进入[资产/主机管理]页面中,在主机列表右下方单击[导入主机],进入导入主机页面。
图5-6 导入主机页面示意图
(2) 单击<下载模板文件>将文件下载至本地并解压,编辑并保存好文件中的主机表格。
图5-7 主机表格文件示意图
第一列为主机IP(必填项)、第二列为主机名称、第三列为账户名称,第四列为账户密码,第五列为协议及端口号,第六列为部门,第七列为主机组名称。网络协议的格式为“协议:端口号”(中间用英文的冒号隔开),如“SSH:22”;如果存在多个协议及端口号,就如“TELNET:23,FTP:21”(中间用英文的逗号隔开)。
(3) 单击<上传文件>后,在弹出的打开文件对话框中选择要导入的主机文件进行导入。
(4) 单击<导入主机>后即可导入成功。
进入[资产/主机管理]页面中,过滤出需要导出的主机,单击页面右下角的<导出主机>即可完成导出。
图5-8 主机管理页面示意图
(1) 进入[资产/主机管理]页面中。勾选需要删除的主机。
(2) 单击<删除>即可删除成功。
(1) 进入[资产/主机管理]页面中。单击需要禁用的主机,进入主机编辑页面。
(2) 在<主机配置>中勾选“禁用这台主机”,单击<保存更改>即可。
进入[资产/主机管理]页面中。单击需要启用的主机,进入主机编辑页面。
搜索主机与搜索用户的方法类似,可通过主机IP或主机名称进行搜索,也可根据部门进行过滤。
(1) 进入[资产/主机管理]页面中。
(2) 单击主机的IP地址,进入编辑页面。
图5-9 主机编辑页面示意图
(3) 在基本信息中编辑主机信息即协议端口,编辑完成单击<保存更改>。
(4) 单击<主机配置>,进行详细配置。
图5-10 主机详细配置示意图
表5-12 主机配置选项说明
选项 |
功能 |
解释 |
会话选项 |
开启会话二次审批 |
表示需要对该主机进行审核后才可登录 |
开启会话备注 |
表示需要写明登录主机的原因或目的才可登录 |
|
开启历史会话审计 |
表示对运维会话进行审计 |
|
开启实时会话监控 |
表示管理员可以对主机进行实时监控 |
|
RDP选项 |
启用键盘记录 |
表示记录RDP主机的键盘符操作记录 |
允许打印机/驱动器映射 |
在运维RDP主机时,可以映射本地打印和本地磁盘 |
|
允许使用剪切板下载 |
表示运维RDP主机时,可以从主机桌面里复制文件到本地 |
|
允许使用剪切板上传 |
表示运维RDP主机时,可以从本地复制文件到主机中 |
|
SSH选项 |
允许X11转发 |
表示在运维时可以通过SSH方式转发X11协议 |
允许隧道转发 |
表示在运维时可以登录其他SSH主机 |
|
允许打开SFTP通道 |
表示在运维时可以使用SSH的客户工具直接打开SFTP协议 |
|
允许请求exec |
表示可以直接使用exec指令 |
|
文件传输 |
生成文件sha1签名 |
表示可以对SFTP/FTP传输的文件进行sha1签名,确保文件的唯一性与不重复 |
保存文件 |
表示可以对SFTP/FTP传输的文件进行保存在运维审计系统中 |
|
保存下载文件 |
表示可以保存下载的文件 |
|
保存上传文件 |
表示可以保存上传的文件 |
|
启用文件压缩 |
表示可以对传输的文件进行压缩 |
|
不保存超过多少KB的文件 |
表示可以根据单个文件的大小进行保存 |
|
单个会话保存的文件总大小超过多少MB时停止保存 |
表示可以控制单个会话保存的文件大小 |
(5) 编辑完成后单击<保存更改>。
(6) 单击<主机账户>进入账户编辑页面。
(7) 单击需要编辑的账户名称,在弹出的选项卡中进行编辑。
图5-11 主机账户编辑对话框
账户类型分为普通账户和特殊账户,普通账户是非匿名的,特殊账户是匿名的。
<特权账户>被勾选后表明该账户是一个特权账户,拥有改密权限。
<使用特权账户改密>被勾选后,系统会自动寻找具有改密权限的特权账户进行改密计划。
(8) 编辑完成后单击<保存>即可。
帐户组用于对主机帐户的分组,方便在授权的时候进行账户批量授权。
(1) 进入[资产/帐户组管理]页面中。
图5-12 帐户组管理页面示意图
(2) 单击<新建帐户组>进入配置页面,编辑帐户组名称。
图5-13 新建帐户组示意图
(3) 单击<创建账户组>,系统会提示账户组创建成功。
(4) 单击图5-14中的账户组名称,进入账户组编辑页面,参照5.2.2 进行编辑即可。
(1) 在<资产/账户组管理>页面中点击需要编辑的账户组名称,进入账户组编辑页面。
图5-15 账户组编辑页面
(2) 在<主机账户>选项页面添加或删除账户组成员。
(3) 在<修改账户组名称>选项页面可编辑账户组名, 完成后单击<保存更改>即可。
(1) 进入[资产/账户管理]页面中,勾选需要删除的主机帐户组。
(2) 单击<删除>即可将帐户组删除掉。
与搜索用户方法相似,可以通过账户组名称进行搜索,也可以通过部门进行过滤。
用于兼容windows server 2008的remoteAPP的应用发布管理。
(1) 进入[资产/应用管理]页面。
图5-16 应用托管管理页面示意图
(2) 单击上图中的<应用服务器>选项,进入应用服务器管理页面。
图5-17 应用服务器管理页面
(3) 在应用服务器管理页面中可添加或删除应用服务器。
(1) 进入[资产/应用管理]页面中。
(2) 单击<新建应用/新建应用>进入配置页面。选择应用服务器的帐户、填写相关参数、更改图标。
图5-18 添加应用示意图
(3) 单击<创建应用>即可。
应用服务器配置详情请参见《应用服务器(RemoteApp)配置手册》。
(1) 单击[新建应用/新建IE代填应用],进入新建IE代填应用页面填写应用名称、应用服务器的IP、应用服务器的帐户、更改图标、目标URL、目标帐户和密码。
图5-19 添加IE代填应用示意图
(2) 单击<创建应用>。
(1) 进入[资产/应用托管]页面中,勾选需要删除的应用。
(2) 单击<删除>即可删除成功。
与用户搜索类似,可以通过应用名称进行搜索,也可以根据应用服务器账户进行过滤。
(1) 单击需要编辑的应用条目后面的<编辑按钮>,进入配置页面。编辑应用名称、应用服务器、URL、帐户、密码等。
(2) 单击<保存更改>后即可修改成功。
A2000-V云运维审计系统分为标准版和高级版,本章节相关配置仅高级版支持。
通过运维审计系统的改密计划功能,可以实现SSH协议帐户、telnet协议、RDP协议帐户的密码托管。使用密码托管,可以对SSH帐户、telnet帐户、RDP帐户完成一次性自动改密及定时周期改密任务。
点击“资产 > 改密计划”进入改密计划主界面。
图5-20 改密计划管理页面
单击<新建改密计划>按钮,进入改密计划设置界面。
图5-21 新建改密计划
· 任务名称
改密任务名称。
· 执行方式
执行方式有手动执行,定时执行和周期执行三种,定时执行需要填写改密任务执行的具体时间,周期执行除了填写执行时间外还必须填写执行周期。
图5-22 执行方式示意图
· 改密方式
改密方式的引入是为了根据具体改密主机类型(Linux或Windows)下进行改密。改密方式有主动探测和自定义两种。
图5-23 改密方式示意图
主动探测是指在不知道改密主机类型的情况下,通过探测以确定主机类型来进行改密。
自定义改密是指在知道主机类型的情况下,定义脚本命令来进行改密。
· 密码生成方式
改密计划中新密码的计算方式。密码生成方式有自动生成,指定字符集,上传密码和手工指定四种。
图5-24 密码生成方式示意图
· 发送模式
改密的相关内容,如原密码,改密后的密码等信息可以发送给相关人员。发送方式主要有不发送,邮件发送,FTP方式发送以及SFTP方式发送四种。如果需要发送,则需设置发送目标信息。
图5-25 邮件发送模式配置示意图
图5-26 FTP发送模式配置示意图
图5-27 SFTP发送模式配置示意图
在改密计划主界面点击相应的改密计划名称,进入编辑页面。
(1) 修改基本信息。
图5-28 改密任务基本信息
(2) 修改托管账户
在编辑页面点击<托管账户>,进入改密账户编辑页面,可以在该页面添加、编辑、删除主机账户。
图5-29 改密任务托管账户
A2000-V云运维审计系统分为标准版和高级版,本章节相关配置仅高级版支持。
运维审计系统支持自动运维操作。即由系统代替运维人员进行流程化的运维操作。自动运维支持普通命令,交互式命令以及特殊键。
在自动运维主页面点击“新建自动运维任务”,对应页面中填写运维信息,点击<创建任务>即可。
图5-30 新建自动运维
自动运维命令列表有固定的命令格式,在命令列表界面单击<帮助>即可查看说明。
图5-31 自动运维帮助示意图
在自动运维主页面点击相应的自动运维任务名称进入编辑页面,可对任务信息和账户信息进行编辑。在账户信息编辑页面可以进行手工执行、手工停止,导出结果等操作。
图5-32 自动运维列表示意图
运维审计系统的授权管理包括运维授权和策略管理两部分内容。运维授权是指将某部分主机账户的运维权限赋予某部分用户。策略管理是对主机的访问策略管理。运维规则编辑更新后只能对新开启的会话生效,对已在进行会话无效。
运维授权关系类型主要有:
(1) 账户组授权给用户组;
(2) 单个主机账户授权给用户组;
(3) 被托管的应用授权给用户组;
(4) 账户组授权给单个用户;
(5) 单个主机账户授权给单个用户;
(6) 被托管的应用授权给单个用户;
点击<授权/运维规则>进入运维授权主界面。
图6-1 运维规则主页面
(1) 在运维规则主界面中点击<新建运维规则>按钮,进入新建运维规则页面。
图6-2 新建运维规则
(2) 添加用户和资产,在 <添加用户>和<添加资产>下拉菜单中点击相应的条目,会分别弹出对话框,在对话框里选择相应的对象添加即可。
图6-3 添加用户对话框
图6-4 添加账户对话框
(3) 添加的对象会在新建运维授权页面显示,勾选要授权的用户和资产,点击添加。
(4) 设置规则名称、规则有效期及备注等信息,配置完成后点击<创建运维规则>按钮即可
(5) 在运维规则界面点击规则名字可以编辑规则,并可以对规则中的资产进行登录限制、命令控制以及协议控制。
图6-5 编辑运维规则示意图
(6) 配置完成后点击<保存更改>按钮即可。
在运维授权主界面勾选要删除的授权关系,点击<删除>。
为了快速定位授权关系,运维审计系统提供了按用户名、主机账户、账户组和应用进行模糊搜索的功能,同时还提供了按用户类型、资产类型、IP范围限制和部门进行过滤的功能,方便用户快速查找授权关系。
图6-6 登录限制示意图
图6-7 命令控制示意图
与主机配置相同,如果开启的话协议控制优先级大于主机配置中的内容。
使用该功能前,需启用[系统/系统配置/运维配置/未授权登录]中的“允许未授权登录”功能。
启用成功之后,运维员可以在[运维/主机运维]页面中的“未授权登录”窗口登录主机,登录成功之后,可以在“未授权登录审核”页面中看到用户与主机的对应关系。
该功能适用于用户与主机的权限关系无法理清楚的场景,这样的话,管理员无需手工创建运维规则。
如果不需要该功能,不建议启用“允许未授权登录”,因为启用之后,会造成没有授权的用户在知道主机账号和密码的情况下能登录主机。
管理员对未授权登录的用户-主机关系进行审核,决定授权与否。
(1) 进入[授权/未授权登录审核]页面。
图6-8 未授权登录审核页面示意图
(2) 勾选相应的未授权条目,单击<授权>按钮即可。
勾选相应条目,单击<删除>按钮即可。
可以输入主机名、用户名或主机账户进行模糊搜索,也可以根据协议和授权状态进行过滤。
审计用于审计运维人员对主机的访问操作的日志。
会话审计用于记录运维人员对主机操作过程的会话日志。
(1) 进入[审计/会话审计]页面。可以查看到字符、图形、文件、应用类型的会话审计日志。
图7-1 所有会话页面示意图
(2) 单击会话审计页面中的<详情>后弹出相应会话详情。可以查看到详细的会话信息。
图7-2 会话详情示意图
(3) 单击<关闭>按钮后即可返回管理页面。
(4) 单击会话审计页面中的<下载>后,即可下载会话文件,可通过离线播放器查看。
“离线播放器”,请参在工具下载页面中下载安装至本地使用。
(5) 单击会话审计页面中的<播放>后,即可通过Web方式查看会话审计。可以查看日志回放、命令记录、搜索等。
Web方式查看会话审计,须在本地安装flash player才可播放。如果未安装flash player,请工具下载页面中下载安装至本地使用。
图7-3 会话审计在线播放示意图
(6) 查看完之后,关闭Web页面即可。
(1) 进入[审计/会话审计/所有会话]页面中。
(2) 单击<展开更多搜索条件>。可组合条件搜索。注意:IP过滤条件是模糊匹配,可能搜索不全,也有可能会搜索出其他IP的会话。另外,系统不支持未授权登录产生的日志基于IP查询。
图7-4 会话审计搜索条件示意图
(3) 单击<搜索>后即可搜索成功。
(1) 进入[审计/会话审计/应用会话]页面。可以查看到应用的名称、来源信息、操作时长等。
图7-5 应用会话页面示意图
(2) 单击应用会话页面中的<详情>后,弹出会话详情。可以查看到详细的会话信息。
(3) 单击关闭按钮后即可返回管理页面。
(4) 单击应用会话页面中的<下载>后,即可下载会话文件,可通过离线播放器查看。
(5) 单击会话审计页面中的<播放>后,即可通过Web方式查看会话审计。可以查看日志回放、文字记录、搜索等。
图7-6 在线查看审计日志示意图
(6) 查看完之后,关闭Web页面即可。
进入[审计/会话审计/应用会话]页面中,其余操作与搜索所有会话相同。
(1) 进入[审计/会话审计/事件查询]页面中。
图7-7 时间查询页面示意图
(2) 单击<详情>,弹出窗口。可以查看会话的详细信息。
(3) 单击<播放>即可通过Web方式开始播放会话审计。
图7-8 在线播放审计日志示意图
(4) 查看完之后,关闭Web页面即可。
(1) 进入[审计/会话审计/事件查询]页面中。
(2) 单击<展开更多搜索条件>按钮。可组合条件搜索。
图7-9 搜索条件示意图
审计规则是创建审计员与主机之间的对应关系,代表某审计员具有审计某主机的权限。
在控制面板选择“审计规则”进入审计规则主页面。
图7-10 审计规则管理页面
(1) 在审计规则主页面点击“新建审计规则”进入相关页面。
图7-11 新建审计规则页面
(2) 添加审计员,在弹出的对话框中选择审计员进行添加。
图7-12 添加审计员对话框
(3) 添加被审计的主机,在弹出的对话框中选择主机进行添加。
图7-13 添加主机对话框
(4) 最后单击<创建审计规则>即可完成创建。
审计规则只对审计员用户角色生效。
A2000-V云运维审计系统分为标准版和高级版,本章节相关配置仅高级版支持。
(1) 进入[工单/我的工单]页面。
图8-1 我的工单列表示意图
(2) 单击< 新建工单>,进入新建工单页面。
图8-2 新建工单页面
(3) 单击<选择资产>,选择主机账户或应用。
图8-3 资产选择对话框
(4) 勾选主机单击<添加>,在我的工单页面会显示添加的主机,此时工单处于待审批的状态。
图8-4 工单条目
(1) 进入[工单/工单审批]页面。
图8-5 工单审批页面
(2) 勾选工单申请条目,单击<批准>,此时申请人可以在<运维>界面登录申请的主机。
运维用于运维人员登录主机时的功能管理。
工具下载用于运维人员在登录主机前的下载需要用到的运维工具。
(1) 单击页面右上方的用户名,[工具下载]进入工具下载页面。
(2) 下载“单点登录器”并安装在本地。
单点登录器是用于Web方式调用运维客户端工具时,必须安装的登录工具。
(1) 单击页面右上角用户名,进入[工具下载]页面中。
(2) 下载“应用加载器”。
(3) 安装至应用服务器(windows server 2008)中,并通过remoteapp管理器发布。
应用加载器用于应用发布的辅助工具。
(1) 点击页面右上角用户名,进入[工具下载]页面中。
(2) 下载“USBKEY控件”并安装在本地。
USBKEY控件用于运维审计系统启用USBKEY认证方式时的登录工具。
· 须结合物理硬件USBKEY使用。
· 仅支持IE浏览器登录和签发。
(1) 单击页面右上角用户名,进入[工具下载]页面中。
(2) 下载“离线播放器”与“Adobe ATR”,并安装在本地。
离线播放器与Adobe ATR是用于会话审计里的日志导出后进行离线查看的工具。
(1) 单击页面右上角用户名,进入[工具下载]页面中。
(2) 下载“Flash Player”,并安装在本地。
Flash Player用于通过Web方式查看会话审计的日志。
(1) 单击页面右上角用户名,进入[工具下载]页面中。
(2) 下载支持SSH和telnet协议的客户端工具,并安装在本地。
客户端工具用于连接SSH、telnet协议的主机。
(1) 单击页面右上角用户名,进入[工具下载]页面中。
(2) 下载支持RDP和VNC协议的客户端工具,并安装在本地。
图形客户端工具用于连接windows服务器、VNC服务器。
(1) 单击页面右上角用户名,进入[工具下载]页面中。
(2) 下载支持SFTP和FTP协议的客户端工具,并安装在本地。
文件传输客户端工具用于连接SFTP/FTP服务器。
主机运维用于运维人员登录主机的Web页面。
(1) 在系统页面的右上角点击用户名,进入工具下载页面。
图9-1 工具下载按钮图标
(2) 选择单点登录器,进行下载。
图9-2 工具下载页面
(3) 安装单点登录器。
(4) 配置各协议的单点登录所用客户端。
图9-3 单点登录器界面
(5) 配置完成后退出即可。
(1) 进入[运维/主机运维]页面。
图9-4 主机运维页面示意图
(2) 单击右上角<Web运维配置>,默认进入RDP配置页面。设置分辨率、连接模式、本地设备和资源、本地驱动。
图9-5 Web运维配置页面示意图
(3) 单击<保存>即可生效。
(1) 单击<SSH&TELNET&Rlogin>,进入配置页面。选择客户端程序、终端类型、编码格式。
图9-6 全局登录配置页面示意图
(2) 单击<保存>后,即可生效。
(1) 单击<FTP>,进入配置页面。
(2) 选择对应的客户端程序。
(3) 单击<确定>后生效。
与FTP参数配置类似。
与FTP参数配置类似。
与FTP参数配置类似。
与FTP参数配置类似。
与FTP参数配置类似。
在主机运维列表中,单击相应主机条目的<登录>,会自动弹出配置好的客户端,登录主机进行操作。
(1) 进入[运维/主机运维]页面。
(2) 在搜索框中输入主机IP/主机名/账户名、或关键信息,系统会自动过滤出与目标主机有关的信息。
(3) 单击需要登录的目标主机及帐户后,即可成功登录。
通过主机名称或主机IP实现模糊搜索,也可通过主机协议进行过滤,以此达到快速定位的目的。
A2000-V云运维审计系统分为标准版和高级版,本章节相关配置仅高级版支持。
图9-9 主机运维搜索框示意图
通过此功能可以在linux/unix/苹果电脑中设置openssh配置后,实现SSH网关登录目标主机。
具体使用方式,请参考《SSH网关登录运维配置举例(适用于苹果终端环境)》手册。
通过此功能可以在windows电脑中设置SecureCRT配置后,实现批量自动登录目标主机。
· 具体使用方式,请参考《字符客户端工具登录运维配置举例(适用于Windows终端环境)》手册中的“批量自动登录”章节。
通过此功能可以在windows电脑中设置Xshell配置后,实现批量自动登录目标主机。
具体使用方式,请参考《字符客户端工具登录运维配置举例(适用于Windows终端环境)》手册中的“批量自动登录”章节。
通过此功能可以在windows电脑中设置rdpgate.exe工具配置后,实现RDP网关登录目标主机。
配置步骤如下:
(1) RDP网关环境要求将远程桌面协议升级到8.0及以上;
(2) 在使用RDP网关之前,请从堡垒登陆页面下载CA证书并安装到受信任的根证书颁发机构;
(3) 点击rdpgate.exe可以进行RDP网关的配置(确保输入的网关地址和用户名密码正确);
(4) 配置完后点击确定,客户端程序启动后确保输入的目标资产地址和帐户正确无误;
(5) 每次启动时确定网关地址和用户密码的正确无误后,即可自动登录到目标主机。
远程桌面协议升级到8.0方法说明:请参考官网所提供资料:https://support.microsoft.com/zh-cn/kb/2592687。
实时监控用于管理正在运维主机的会话,进行命令审批或会话阻断等操作。
(1) 进入[运维/实时监控]页面。如果有主机正在运维的会话,就会在页面中显示。
图9-10 实时监控页面
(2) 单击<播放>后,进入运维窗口监控页面,可以实时查看运维会话的操作情况,如果有命令需要审批,监控页面会弹出命令审批对话框。
图9-11 命令审批对话框
(3) 选择按钮进行操作。
除了在命令审批中能阻断会话,还能在图8-7中的在线会话列表中阻断相应会话。
(1) 勾选要阻断的会话
(2) 单击<阻断会话>按钮即可。
当运维人员想访问某主机并且知道该主机的IP、账户和密码,但该主机没有被授权,没有在运维列表中显示,这时,可由管理员在[系统/系统配置/运维配置]中启用“允许未授权登录”方式。
(1) 在[运维/主机运维]界面右上方,单击<未授权登录>按钮。
图9-12 未授权登录示意图
(2) 在登录对话框中输入IP、端口号、协议、账户名、密码,即可登录。
图9-13 未授权登录对话框
运维审批即二次审批,对于设置了二次审批的主机,即使经过授权,运维人员也不能直接登录成功,系统会自动生成运维申请,由上层管理人员审批通过之后,才能运维。若运维规则中开启了二次会话审批,C/S运维待审批完成后可以在web界面点击登录运维。
(1) 设置二次审批。
在[资产/主机管理]页面中,单击需要编辑的主机,在[主机配置]页面中勾选“开启会话二次审批”并保存。
图9-14 主机配置示意图
(2) 运维申请。
运维人员在运维页面登录设置过“二次审批”的主机时,系统会提示“运维申请已创建,等待批准”。
在[运维/运维审批/我申请的]页面可以查看到主机的审批情况。
图9-15 运维申请示意图
对于已批准的运维申请,对应主机会显示“登录”字样,单击<登录>即可以登录主机并进行运维。
(3) 运维批准。
管理员在[运维/运维审批/我申请的/运维批准]页面中,可以看到运维员的运维申请,勾选相应的运维申请条目,并单击<批准>即可完成运维批准。
图9-16 运维批准示意图
运维报表用于统计当前用户的运维信息报表。
(1) 进入[运维/运维报表]页面。可以设置时间范围,选择查看今天、昨天、本周、本月的报表。
(2) 选择用户后即可查看到该用户的数据报表。
图9-17 查看运维报表示意图
(1) 进入[运维/运维报表]页面。
图9-18 运维报表导出页面示意图
(2) 单击<导出报表>,列出导出的格式。
图9-19 运维报表导出格式示意图
(3) 单击导出的格式后,即可将统计的报表导出并查看。
系统用于管理运维审计系统的网络设置、认证管理、系统配置、存储管理、操作日志、系统报表、和本机维护。
网络设置用于配置系统的网络、静态路由、SNMP、HA配置和IP源防护。
(1) 进入[系统/网络设置/网络配置]页面。编辑接口信息
图10-1 接口信息配置示意图
(2) 单击<保存更改>后即可生效。
(1) 进入[系统/网络配置/网络配置]页面中。
(2) 单击<DNS配置>,弹出窗口。编辑首选DNS、备选DNS。
图10-2 DNS配置示意图
(3) 单击<保存更改>后即可生效。
(1) 进入[系统/网络设置/网络配置]页面中。
(2) 单击<协议端口配置>,弹出窗口。可以修改系统的默认运维端口。
图10-3 协议端口配置示意图
进入[系统/网络设置/网络配置]界面,可对RDP网关端口进行配置。
图10-4 RDP网关端口配置示意图
(1) 进入[系统/网络设置/网络配置]页面中。
(2) 单击<Web端口配置>,弹出窗口。可以修改系统默认管理端口。
图10-5 Web端口配置示意图
(3) 单击<保存更改>后即可生效。
进入[系统/网络设置/网络配置]界面,可看到业务数据流量统计。
(1) 进入[系统/网络设置/网络配置/]页面。
图10-6 聚合端口信息示意图
(2) 选择好一个接口后,单击<配置>,弹出窗口。配置接口的IP、掩码、接口模式。
图10-7 接口配置示意图
(3) 单击<保存更改>即可生效。
(1) 进入[系统/网络设置/网络配置]页面。
图10-8 物理端口信息示意图
(2) 选择好一个接口,单击<配置>,将物理接口与逻辑端口绑定。
图10-9 端口配置示意图
(1) 进入[系统/网络配置/静态路由]页面。
图10-10 静态路由配置示意图
(2) 在页面中填写。目标地址、掩码、下一跳网关、出口设备等。
(3) 单击<创建路由规则>后即可提示创建成功,并在列表中显示。
(1) 进入[系统/网络配置/SNMP]配置页面中。
图10-11 SNMP配置示意图
(2) 在页面右侧,输入SNMP的共同体名称、选择SNMP版本、是否限制IP。
图10-12 添加SNMP信息示意图
(3) 单击<创建社团>后即可添加成功。
图10-13 SNMP管理页面示意图
(4) 在<常用节点信息>区,可以查看SNMP输出的OID信息。
图10-14 OID信息显示示意图
(5) 在<社团信息>区,可以查看SNMP的社团信息。
该章节仅硬件运维审计系统支持。
(1) 进入[系统/网络配置/HA配置]页面。
· HA配置前提。必须是2台硬件运维审计系统,且是相同的软件版本。
· 主机和备机的心跳口IP必须是直连。
· 先配置主机,然后配置备机。
· 若需要重新配置,需要先回到单机。
图10-15 HA配置示意图
(2) 先配置主机。
· 选择热备模式-主机,选择HA接口设备,接口设备需要在网络配置中预先设置。主机HA接口IP到备机HA接口IP可连通;填入备机HA接口的IP。
· 填入服务/虚拟IP,HA激活的一方将在BOND0业务数据接口通过此IP提供服务;HA发生切换后,服务/虚拟IP会跟随切换。
· 填入灾备/虚拟IP,HA激活的一方将在BOND2灾难备份接口通过此IP提供服务;HA发生切换后,灾备/虚拟IP会跟随切换;灾备/虚拟IP和灾备/备份IP 需要在相同网段;不使用远程灾备功能保留默认值。
图10-16 主机配置示意图
(3) 单击<保存更改>,确定后即可生效。
(4) 配置备机。选择热备模式-备机,将主机上的HA群组验证密钥复制-粘贴至备机上,选择HA接口设备,接口设备需要在网络配置中预先设置。主机HA接口IP与备机HA接口IP与步骤2中一致。
图10-17 备机配置示意图
(5) 单击<保存更改>,确定后即可生效。
(6) 最后访问人员使用服务/虚拟IP。
图10-18 同步过程示意图
(7) 配置远程灾备,可选配置。将第3台设备选择热备模式-远程灾备,将主机上的HA群组验证密钥复制-粘贴至远程灾备上;灾备/备份IP需要在网络配置中预先设置,第3台设备配置灾备/备份IP所在接口与步骤2步骤4中主机、备机bond2远程灾备口ip互通;灾备/虚拟IP和灾备/备份IP与步骤2中填入配置保持一致。
图10-19 远程灾备配置示意图
(8) 单击<保存更改>,确定后即可生效。
(9) 异常处理。主机、备机、远程灾备出现无法同步故障或者填入配置有误时,将所有设备状态选择为单机模式,<保存更改>后重新配置HA功能。
设备作为备机加入到HA中,备机将丢弃原有配置数据,系统为灾难备机加入到HA中,灾难备机将丢弃原有配置数据。请慎重操作。
IP源防护用于控制来源IP是否能访问运维审计系统。
图10-20 IP源防护配置示意图
请谨慎使用“IP源防护”功能,因为一旦来源IP未配置正确,就会造成来源IP无法访问运维审计系统。
· 黑名单模式:表示拒绝来源IP访问运维审计系统。
· 白名单模式:表示只允许来源IP访问运维审计系统。
认证管理是用来管理系统的安全配置、远程认证、双因子认证和第三方HTTP平台认证的。
登录配置是用于配置登录超时、验证码是否启用、验证码过期时间以及是否禁止admin从Web登录的。
图10-21 登录配置示意图
用户锁定是用于配置用户登录时的密码尝试次数,超过尝试次数锁定时长和重置计数器时间的。
图10-22 用户锁定配置示意图
用户密码配置用于配置用户的密码策略以及密码使用期限。
图10-23 用户密码配置示意图
(1) 进入[系统/认证管理/远程认证]页面。首先配置本地认证状态。
关闭本地认证后,除了admin用户以外,其他用户都无法登录运维审计系统。
(2) 可选择禁用本地认证。
A2000-V云运维审计系统分为标准版和高级版,本章节相关配置仅高级版支持。
(1) 进入[系统/系统配置/认证配置/远程认证]页面。启用远程认证、选择AD域认证模式,填写服务器地址、端口号、Base DN、域名,填写一个AD服务器中的账户和密码,单击<测试连接>,可以测试与服务器的联通性及该账户是否可用。
图10-25 远程认证配置示意图
(2) 单击<保存更改>后即可生效。
A2000-V云运维审计系统分为标准版和高级版,本章节相关配置仅高级版支持。
LDAP配置与AD服务器账户配置类似,启用远程认证、选择LDAP认证模式,填写服务器地址、端口号、Base DN、域名,填写一个LDAP服务器中的账户和密码,单击<测试连接>,可以测试与服务器的联通性及该账户是否可用。
图10-26 远程认证配置示意图
A2000-V云运维审计系统分为标准版和高级版,本章节相关配置仅高级版支持。
输入远程RADIUS服务器的IP地址、服务端口号、服务器密码、NAS识别码,选择验证模式。点击<测试连接>可以测试与服务器连通性。
图10-27 远程认证配置示意图
RADIUS验证模式有三种:
· 选择用户名和密码时,使用用户名和密码验证;
· 选择用户名和动态口令时,可以使用用户名、密码或者动态口令验证;
· 选择用户名、令牌PIN和动态口令时,可以使用用户名、密码验证,也可以使用用户名、令牌PIN和动态口令验证。
可进入[系统/认证管理/双因子认证]界面选择所需要使用的双因子认证方式。
图10-28 双因子认证方式配置示意图
A2000-V云运维审计系统分为标准版和高级版,标准版仅支持“密码、硬件动态令牌、硬件USBKEY”认证方式。
A2000-V云运维审计系统分为标准版和高级版,本章节相关配置仅高级版支持。
进入[系统/认证管理/双因子认证]页面中,进行短信配置。
图10-29 短信配置示意图
图10-30 短信猫配置示意图
图10-31 短信网关配置示意图
进入[系统/认证管理/第三方HTTP平台认证],可与网易将军令系统对接配置。
图10-32 网易将军令配置示意图
图10-33 第三方平台单点登录配置示意图
运维授权配置主要是对未授权登录进行相关配置,如图10-34所示。
其中“收集授权关系”是指用户进行未授权登录后,运维员通过[运维/主机运维]页面中的“未授权登录”窗口登录目标主机,登录成功之后系统会自动收集用户和主机的授权对应关系,在<未授权登录审核>页面可以查看。如图10-35所示。
· “收集主机账户和密码”是指用户进行未授权登录后,系统会自动收集用户所登录主机的账户和密码。
· “自动授权”是指系统检测到未授权登录的事件发生后,会自动创建相应授权关系,不需要管理员进行手动授权。.
运维登录配置可以对运维的策略进行配置。
图10-36 运维登录配置示意图
SSH登录配置可以对SSH主机的策略进行管理。
图10-37 SSH登录配置示意图
运维时长限制可以自动断开空闲超时的连接。
图10-38 SSH登录配置示意图
操作日志告警可以选择是否开启告警配置,以及可以自定义操作重要程度告警。
图10-39 操作日志配置示意图
(1) 进入[系统/系统配置/告警配置/邮件配置]页面。配置邮件的地址、端口、账号、密码、收件人邮箱,可测试邮件是否配置成功。
图10-40 邮件配置示意图
(2) 单击<保存更改>。启用状态、勾选系统日志告警等级、勾选策略日志告警等级。
图10-41 告警配置示意图
(3) 单击<保存更改>后即可生效。
(1) 进入[系统/系统配置/告警配置/syslog配置]页面。配置发送标识、服务器IP、端口,可以测试是否连通。
图10-42 syslog配置示意图
(2) 单击<确定>后即可配置成功,并自动返回管理页面。启用状态、勾选系统日志告警等级、勾选策略日志告警等级。
语言和界面可以调整Web界面的语言。
A2000-V云运维审计系统分为标准版和高级版,本章节相关配置仅高级版支持。
图10-43 语言设置示意图
部门管理可以选择是否开启部门功能。
A2000-V云运维审计系统分为标准版和高级版,本章节相关配置仅高级版支持。
图10-44 部门管理示意图
该功能用于同品牌数据库审计系统对接使用。
图10-45 审计API访问键示意图
可选择是否开启报表自动统计功能。
图10-46 报表自动统计示意图
(1) 单击<上传新DSA私钥>或<上传新RSA私钥>弹出私钥上传对话框。
图10-47 私钥上传对话框
(2) 将上传的私钥部署到本地,使堡垒系统成为可信任的主机。
磁盘数据状态可以显示出系统盘和数据盘的容量、剩余空间和归档状态。
图10-48 磁盘数据状态
可选择是否开启录像归档,若开启,可使用FTP或SFTP将录像传输到某服务器上。
图10-49 录像归档示意图
可以配置自动删除会话录像。
图10-50 自动删除示意图
图10-51 手动删除示意图
(1) 进入[系统/存储管理/录像导出]页面。
图10-52 录像导出管理页面示意图
(2) 单击<新建录像导出任务>进入配置页面。配置任务名称、执行方式、会话内容、备份服务器等信息。
图10-53 录像导出配置页面示意图
(3) 单击<创建任务>后即可成功并自动返回管理页面。
(1) 进入[系统/存储管理/日志备份]页面。选择好时间范围,编辑备注、选择好导出的内容。
图10-54 日志备份管理页面示意图
(2) 单击<创建日志备份>即可生成备份文件。
(3) 在备份列表单击<下载>按钮后即可将文件下载至本地查看。
(1) 进入[系统/存储管理/磁盘管理]页面。
图10-55 磁盘管理页面示意图
本章节相关配置仅硬件运维审计系统支持。
(2) 单击<刷新磁盘信息>即可查看磁盘的最新状态。
(3) 单击<磁盘检测>即可查看磁盘是否运行正常。
(4) 单击<磁盘同步>即可将raid环境下的磁盘进行数据同步。
(1) 进入[系统/操作日志/操作日志配置]页面。
图10-56 系统日志配置示意图
(2) 单击日志类型的下拉按钮,例如。选择“运维日志”。
图10-57 系统日志配置示意图
(3) 设置“重要性”的危险等级。
(4) 单击<保存更改>即可生效。
(5) 单击<恢复默认设置>后即可恢复到出厂默认设置的危险等级。
系统报表是用于统计运维审计系统的日志报表。
(1) 进入[系统/系统报表]页面。以“操作重要性”为例。
图10-58 系统报表示意图
(2) 选择好日期,然后单击<按小时>即可查看统计报表。
按小时查看表示查看此前近7个小时的报表信息。例如选择的是4月3日00:00,那统计的是4月2日18:00-4月3日00:00的数据。
(1) 进入[系统/系统报表]页面。以“操作重要性”为例。
图10-59 系统报表示意图
(2) 选择好日期,然后单击<按天>即可查看统计报表。
按天查看表示查看此前近7天的报表信息。例如选择的是4月3日,那统计的是3月28日-4月3日的数据。
(1) 进入[系统/系统报表]页面。以“操作重要性”为例。
图10-60 系统报表示意图
(2) 选择好日期,然后单击<按周>即查看统计报表。
按周查看表示查看此前近7周的报表信息。例如选择的是4月3日,那统计的是2月16日-4月5日的数据。
(1) 进入[系统/系统报表]页面。以“操作重要性”为例。
图10-61 系统报表示意图
(2) 选择好日期单击<按月查看>,并选择好日期。
按月查看表示查看此前近7个月的报表信息。例如选择的是2015年4月3日,那统计的是2014年10月-2015年4月的数据。
(1) 进入[系统/系统报表]页面。
(2) 单击<报表导出>进入配置页面。选择好周期、时间、文件格式。
图10-62 导出系统报表示意图
(3) 单击<导出系统报表>后即可导出报表并查看。
本机维护用于维护系统的信息和配置。
进入[系统/本机维护/系统管理]页面,可以从时间服务器或浏览器同步系统时间。
图10-63 系统时间示意图
在系统升级界面可以看到系统版本、出厂时间等信息,点击上传系统升级文件可以上传升级包用于机器升级。
图10-64 系统升级示意图
(1) 单击<上传文件>后即可将系统升级成功。
(2) 如果提示要求重启系统,则请重启系统。
系统工具界面可以重启设备、关闭设备、恢复出厂设置。
图10-65 系统工具示意图
(1) 进入[系统/本机维护/许可证]页面,可以对系统的许可证进行管理。
图10-66 许可证管理页面示意图
· “正式版”授权的运维审计系统无需申请许可证。
· 如果需要扩展主机数或维保延期,则需要申请许可证,单击<生成系统认证文件>生成host文件,将host文件通过邮件方式发送至产品供应商的客服,客户会回复lic许可文件,单击<导入许可证>导入lic许可文件即可。
· 如果不需要扩展主机数或维保延期,则忽略此页面配置。
(2) 单击<生成系统认证文件>后可将系统认证文件导出,发送给相关人员后即可申请系统的许可证。
(3) 单击<备份许可证>后可备份系统的许可证文件。
(4) 单击<导入许可证>后可将得到的系统认证文件导入至系统中即可延期或扩展主机数量。
进入[系统/本机维护/系统管理]页面,可以查看到系统的CPU、内存、网络流量、磁盘读写的使用情况。
图10-67 系统状态显示示意图
(1) 进入[系统/系统维护/系统配置备份与还原]页面,编辑备注。
图10-68 系统配置手动备份页面示意图
(2) 单击<创建系统配置备份>后备份列表中即可产生备份信息。
(1) 在自动备份区填写备份周期,备份保留数目。
图10-69 系统配置自动备份示意图
(2) 设置信息填写完成后,单击<保存更改>即可。
(1) 进入[系统/本机维护/系统备份/备份列表]页面。
(2) 单击<下载>后即可下载备份文件至本地。
(1) 进入[系统/系统维护/系统配置备份与还原/备份列表]页面。
(2) 单击<还原>后即可将备份的文件恢复还原至系统中。
(1) 进入[系统/系统维护/系统配置备份与还原/系统配置还原]页面。
图10-70 系统配置还原示意图
(2) 单击<上传系统配置文件>后即可将系统配置备份的文件恢复还原至系统中。
开启系统配置推送,系统将按照设定的推送周期向目标设备推送本设备的系统配置。
(1) 开启推送功能,设置推送周期和推送密钥。
图10-71 系统同步推送示意图
单击上图的重置即可设置推送密钥,推送设备上设置的推送密钥,在接收设备设置接收配置时会用到。
(2) 添加推送目标,即接收设备。
图10-72 添加推送目标窗口
(3) 查看推送目标。
可以在目标列表中进行手动推送系统配置,也可删除推送目标。
图10-73 推送目标列表
在接收设备上设置源设备(即推送设备)的密钥,开启接收功能即可接收推送设备推送的系统配置。
图10-74 系统同步接收页面
(1) 进入[系统/系统维护/调试日志]页面。
图10-75 调试日志页面示意图
(2) 单击<关闭刷新>即可暂停调试日志的更新。
(3) 单击<导出日志>即可将调试日志导出查看。
(1) 进入[系统/系统维护/网络诊断/连通性检测]页面。可以检测主机的IP或端口是否连通、路由是否可达、TCP端口、UDP端口。
图10-76 连通性检测功能示意图
(2) 单击<执行>后即可自动检测出主机的是否连通。
(1) 进入[系统/系统维护/网络诊断/TCPDump抓包]页面。设置抓包的IP或端口,抓包的数量。
图10-77 TCPDump抓包功能示意图
本章节相关配置仅硬件运维审计系统支持。
(2) 单击<开始>后即可开始抓包。
(3) 单击<停止>后即可停止抓包,并在右侧显示<下载>按钮。
图10-78 TCPDump抓包功能示意图
(4) 单击<下载>按钮即可将文件下载至本地,使用wireshark软件查看。
(5) 单击<删除>按钮可将抓包文件删除。
进入[系统/本机维护/系统诊断]页面。可以选择查看设备类型的信息。
图10-79 系统诊断页面示意图
进入[本机维护/系统警报]页面,勾选警报点击确认警报,表示确认了警报日志。
图10-80 系统警报页面示意图
进入[本机维护/控制台SSH公钥]页面,可以上传公钥用于以密钥方式SSH登录堡垒机控制台
10.7.1 控制台SSH公钥页面示意图
点击上传控制台SSH公钥按钮,粘贴公钥后保存即可。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!