- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
user_manual_bookmap
本章节下载 (2.34 MB)
目 录
运维审计系统为了解决用户身份识别问题,为每一个用户创建一个身份认证帐号,用于平台身份鉴别,并借助访问权限将平台身份帐号与相应资产中系统帐号一一关联,实现用户操作与其身份相关联。
运维审计系统中每一个创建的帐号,都需要设置为以下几种角色之一。不同的角色拥有不同的管理和访问权限。
| 帐号角色 | 角色描述 |
|---|---|
| 超级管理员 | 运维审计系统最高权限角色,除了具备配置管理员、审计管理员等其他角色的权限,还可做基础设置和全局属性配置。 |
| 配置管理员 | 运维审计系统的配置管理角色,可以配置用户、资产、访问权限。 |
| 审计管理员 | 运维审计系统中的审计角色,拥有所管理的审计系统中所有的会话和事件的权限。 |
| 自动化管理员 | 运维审计系统中的自动化管理角色。 |
| 操作员 | 运维审计系统中对各种资产和设备进行实际操作的角色,即普通用户。 |
由于不同的角色类型对应不同的操作权限,因此本文档所列出的各种操作,只能由拥有权限的部分角色执行。
请不同用户根据自己的角色类型,查阅下面的权限列表,查找到当前用户角色所允许的操作有哪些,并查看这些操作所对应的操作指导:
| 操作 | 超级管理员 | 配置管理员 | 审计管理员 | 自动化管理员 | 操作员 | |
|---|---|---|---|---|---|---|
| 管理 | 用户管理 | √ | √ | × | × | × |
| 资产管理 | √ | √ | × | √ | × | |
| 权限管理 | √ | √ | × | × | × | |
| 访问 | 资产访问 | √ | √ | × | √ | √ |
| 文件传输 | √ | √ | × | √ | √ | |
| 高危操作 | √ | √ | × | × | √ | |
| 审计 | √ | × | √ | × | × | |
| 报表 | √ | √ | √ | × | × | |
| 自动化 | √ | √ | × | √ | × | |
| 工单 | √ | √ | √ | √ | √ | |
| 帐号改密 | √ | √ | × | × | × | |
| 个人设置 | √ | √ | √ | √ | √ | |
| 系统配置 | √ | × | × | × | × | |
“√”表示拥有该项操作的权限;“×”表示没有该项操作的权限。
运维审计系统支持Web界面、Console控制台、RDP登录、SSH登录四种登录方式。管理员和普通用户可以通过Web方式完成大部分的日常操作;如果少数管理操作无法在Web界面完成,超级管理员还可以登录管理后台进行操作;普通用户如果需要快速运维Windows资产可以使用RDP登录;普通用户如果需要快速访问允许通过ssh或者telnet访问的资产可以使用SSH登录。
Web界面是运维审计系统最主要的访问入口,管理员、操作员、审计员都需要登录Web界面,并完成在运维审计系统的各项操作。
服务端要求
客户端环境要求
本地PC客户端环境必须具备下列基本要求,才能够按照本文档的指引完成各项操作任务。本文以Windows 10和Google Chrome浏览器为例进行介绍。
| 项目 | 要求 |
|---|---|
| 操作系统 |
|
| 浏览器 |
|
| 显示器分辨率 | 建议最小为1280*1080(系统的缩放设置为100%时)。 Note: 如使用更小的分辨率,或系统缩放大于100%,可以降低浏览器的缩放比率,使Web界面所有内容能够全部正常显示。
|
使用其他方式登录的方法和使用本地密码登录的步骤基本相同,只是在输入密码时会有一些区别。
此处仅就使用其他方式登录时的密码输入方式进行说明:
使用手机令牌方式登录:手机令牌只能作为双因子认证中的第二重认证方式。
在登录界面的密码输入框中输入第一重认证的密码,单击登录认证成功后,会弹出两步认证密码输入框,继续输入第二重认证的密码并单击提交完成认证。
Console控制台支持通过多种方式使用root帐号登录。登录到控制台之后,管理员可以进行重置admin帐号、使用系统工具、修改主机名等功能。
如使用SSH远程登录,还需要满足以下前提条件:
本文主要介绍如何通过串口登录和SSH远程登录的方式访问Console。
操作员可以通过RDP的方式登录到运维审计系统,从而直接打开图形会话对设备进行操作。
RDP登录到运维审计系统之后只能执行资产/设备访问操作,不能对运维审计系统进行管理,并且只能看到当前帐号拥有访问权限且支持RDP访问的资产/设备。
使用USB Key认证的用户不能通过该方式登录运维审计系统。
本文以装有Windows系统的本地PC为例进行介绍。
操作员可以通过SSH的方式登录到运维审计系统交互终端,从而直接建立Telnet/SSH字符会话对设备进行操作。
通过SSH登录到运维审计系统之后只能执行资产/设备访问操作,不能对运维审计系统进行管理,并且只能看到当前帐号拥有访问权限且支持SSH访问的资产/设备。
使用USB Key认证的用户不能通过该方式登录运维审计系统。
本文以Xshell为例介绍登录步骤,SecureCRT、Putty的配置与Xshell基本相同。
访问运维审计系统的Web界面时,如果提示证书错误,请安装运维审计系统的安全证书。
在使用运维审计系统访问资产时,除了通过Web方式建立图形会话,其他场景下运维审计系统都会通过AccessClient打开会话。如本地PC未安装AccessClient,进入访问资产菜单后,浏览器上方也会提示安装AccessClient,也可根据该提示下载并安装AccessClient。如已安装了AccessClient,仍然收到提示,请单击已安装进行忽略。
运维审计系统的Web界面提供了帮助页面,包括查看软件版本、管理软件包和用户手册等。
在运维审计系统的Web界面可以获取软件版本号和各组件的版本信息。
超级管理员和自定义角色中包含系统设置权限的用户可以上传用户手册和软件包,也可以删除过时或者错误的内容;所有用户可以下载用户手册和软件包。
单击上传,从本地PC选择用户手册上传到运维审计系统。
| 项目 | 描述 |
|---|---|
| 大小 | 每个文件不超过100MB。 |
| 格式 |
|
| 文件名 | 字符串格式,最大长度为85个字符,建议使用中英文字符和数字。上传后文件名不能再被修改。 |
单击某个用户手册对应的删除,删除该手册。
单击某个用户手册对应的下载,下载该手册。
单击上传,从本地PC选择软件包上传到运维审计系统。
| 项目 | 描述 |
|---|---|
| 大小 | 每个文件不超过500MB。 |
| 文件名 | 字符串格式,最大长度为85个字符,建议使用中英文字符和数字。上传后文件名不能再被修改。 |
单击某个软件包对应的删除,删除该软件包。
单击某个软件包对应的下载,下载该软件包。
用户是指运维审计系统的使用者,包含帐号、角色、身份验证方式等多种属性。运维审计系统支持多种用户配置方式。
按照权限范围的大小,运维审计系统将用户划分为多种不同的角色。运维审计系统缺省提供的用户角色如下,运维审计系统支持自定义新的用户角色。
运维审计系统缺省提供了一个超级管理员角色的用户admin(缺省密码也是admin),请再根据实际情况创建不同角色的用户。
创建用户时,运维审计系统缺省提供的预定义用户属性如表3.1 预定义用户属性所示。如果运维审计系统预定义用户属性不满足需求,可以自定义用户属性。
| 属性 | 说明 |
|---|---|
| 帐号 | 用户的帐号,用来唯一标识用户。 |
| 姓名 | 用户的姓名,用户登录Web界面后,姓名会显示在Web界面的右上角。 |
| 身份验证 | 用户的身份验证方式。运维审计系统缺省支持的是本地密码,即用户身份验证功能由运维审计系统完成。如果已部署了AD、LDAP、RADIUS等认证服务器,运维审计系统支持与这些第三方认证服务器对接完成身份验证。除此之外,运维审计系统还支持手机令牌、双因子认证和X.509证书认证。 |
| 手机号码 | 用户的手机号码。 |
| 工作邮箱 | 用户的工作邮箱,用来接收密码、改密通知等各种信息。 |
| 用户组 | 用户所属的用户组。用户组是用户的一种组织形式,相同权限的用户可以划分到同一个分组。配置用户的权限时就能够以用户组为单位而不是用户,可有效减轻配置负担。 |
| 部门 | 用户所属的部门。 |
| 状态 | 用户的状态,包括活动和禁用,缺省为活动。 |
| 帐号有效期 | 用户帐号的有效期。帐号过期后,用户登录运维审计系统会提示帐号状态异常。 |
| 密码有效期 | 用户密码的有效期。密码过期后,用户必须修改密码才能重新登录。 |
| 用户登录控制 | 允许或者禁止用户登录的时间和IP地址范围。 |
| 备注 | 用户的备注信息。 |
运维审计系统支持多种用户创建方式:
使用手工方式逐一创建用户。
对于本地用户和RADIUS用户,建议使用批量导入的方式快速在运维审计系统上创建大量用户。
对于AD用户和LDAP用户,请使用LDAP导入功能将用户导入到运维审计系统。另外,运维审计系统还支持LDAP用户定期同步和新用户自动加入。
对于用户组,支持手工创建和批量导入两种创建方式。在批量导入用户中设置好用户组,创建用户的同时也创建了用户组。
在运维审计系统的Web界面上手工设置用户属性,逐个创建用户。
超级管理员可以创建所有角色的用户,配置管理员可以创建操作员角色的用户。
| 参数 | 说明 |
|---|---|
| 帐号 | 用户的帐号。字符串格式,长度范围是1~100个字符,不能包含"+"、":"、"/"、空格和中文字符。 |
| 姓名 | 用户的姓名。字符串格式,长度范围是1~100个字符。 |
| 身份验证 |
用户的身份验证方式,缺省值为本地密码。 如果要修改本地密码的最小长度、复杂程度等参数时,请参见登录认证:配置本地密码参数。 |
| Web登录是否验证X.509证书 | 配置X.509证书认证后,新建/修改用户时就可以选择是否验证X.509证书。 |
| 参数 | 说明 |
|---|---|
| 密码类型 | 设置本地密码的方式,包括:
本地密码的最小长度、复杂度、有效期限等配置请参见登录认证:配置本地密码参数。 |
| 下次登录时必须修改密码 | 如果选中,用户首次登录时需要修改密码。缺省为选中。 |
以RADIUS为例,如果上一步配置的帐号与RADIUS服务器上的用户名相同,可以不配置RADIUS用户名,运维审计系统缺省以上一步配置的帐号登录RADIUS服务器;如果帐号和RADIUS用户名不同,请在RADIUS用户名输入RADIUS服务器上的用户名,这样就建立起运维审计系统帐号和RADIUS服务器用户名之间的关联关系。用户使用运维审计系统帐号登录后自动使用关联的RADIUS用户名登录RADIUS服务器。
AD/LADP服务器的LDAP用户名情况与RADIUS相同。
| 参数 | 说明 |
|---|---|
| 令牌号 |
请选择运维审计系统已添加的动态令牌。如何配置动态令牌请参见配置动态令牌。 一个令牌只能和一个用户关联。令牌被用户关联后不能被删除。 |
| PIN1/确认PIN1 |
用户自己登录运维审计系统使用PIN1码+动态密码。 PIN码的最小长度、复杂度、有效期限与本地密码相同,具体等配置请参见登录认证:配置本地密码参数。 |
| PIN2/确认PIN2 | 在会话复核中,包含动态令牌身份验证的用户作为复核人,当操作用户发起会话时,复核人和操作用户都会收到通知消息。如果复核人不方便执行复核操作,可以将PIN2码+动态密码告诉操作用户。操作用户打开通知消息,输入PIN2码+动态密码即可完成复核。具体请参见执行高危操作。 |
| 下次登录时必须修改PIN1码 | 如果选中,用户首次登录时需要修改PIN1码。 |
运维审计系统支持从Excel文件中批量导入用户。导入运维审计系统的用户缺省角色是操作员,状态是活动。
如果需要自定义用户属性,请先配置用户属性。
如果需要使用其他身份验证方式,请先配置,具体请参见:
本地密码或者包含本地密码的双因子身份验证方式:
| 参数 | 说明 |
|---|---|
| Web登录是否验证X.509证书 | 配置X.509证书认证后,导入用户时就可以选择是否验证X.509证书。 |
| 设置密码 |
|
| 密码有效期 |
密码的有效期。取值包括:不限、30天、90天、180天、360天、同系统配置。缺省值为同系统配置 密码有效期的系统配置和过期处理方式请参见登录认证:配置本地密码参数。 |
| 帐号有效期 | 帐号在运维审计系统上的有效期限。取值包括:
如果选择指定日期有效,请选择生效开始和结束日期、时和分。 用户的帐号到期时,状态显示为帐号过期,在线会话会被切换,用户登录时提示帐号状态异常,无法登录。 对于已经过期的帐号,管理员可以修改帐号的有效期,修改后立即生效。 |
RADIUS和AD/LDAP等第三方服务器身份验证方式:
| 参数 | 说明 |
|---|---|
| Web登录是否验证X.509证书 | 配置X.509证书认证后,导入用户时就可以选择是否验证X.509证书。 |
| 帐号有效期 | 帐号在运维审计系统上的有效期限。取值包括:
如果选择指定日期有效,请选择生效开始和结束日期、时和分。 用户的帐号到期时,状态显示为帐号过期,在线会话会被切换,用户登录时提示帐号状态异常,无法登录。 对于已经过期的帐号,管理员可以修改帐号的有效期,修改后立即生效。 |
| 参数 | 说明 |
|---|---|
| Web登录是否验证X.509证书 | 配置X.509证书认证后,导入用户时就可以选择是否验证X.509证书。 |
| PIN1/确认PIN1 |
用户自己登录运维审计系统使用PIN1码+动态密码。 PIN码的最小长度、复杂度、有效期限与本地密码相同,具体等配置请参见登录认证:配置本地密码参数。
Note: 批量导入时不支持导入pin2码。
|
| 下次登录时必须修改PIN1码 | 如果选中,用户下次登录时需要修改PIN1码。缺省为选中。 |
| 密码有效期 |
密码的有效期。取值包括:不限、30天、90天、180天、360天、同系统配置。缺省值为同系统配置。 密码有效期的系统配置和过期处理方式请参见登录认证:配置本地密码参数。 |
| 帐号有效期 | 帐号在运维审计系统上的有效期限。取值包括:
如果选择指定日期有效,请选择生效开始和结束日期、时和分。 用户的帐号到期时,状态显示为帐号过期,在线会话会被切换,用户登录时提示帐号状态异常,无法登录。 对于已经过期的帐号,管理员可以修改帐号的有效期,修改后立即生效。 |
| 参数 | 说明 |
|---|---|
| 帐号 |
用户的帐号,字符串格式,长度范围是1~100个字符,不能包含"+"、":"、"/"、空格和中文字符。帐号全局唯一,如果和已有帐号相同则会导入失败。该项必填。 运维审计系统一次性导入的用户数最多是5000个,用户数大于5000时请分批导入。 |
| 姓名 | 用户的姓名,字符串格式,长度范围是1~100个字符。该项必填。 |
| 工作邮箱 | 用户的邮箱地址,长度范围是1~64个字符。如果用户需要接收通知邮件时,该项必填。 |
| 用户组 |
用户所属的分组,该项选填。 如果导入的分组不存在,运维审计系统将会创建该分组。同一用户可加入多个用户组,多个用户组之间请使用","分隔。 |
| 手机号码 | 用户的手机号码。如果身份验证方式中包含短信认证时,该项必填。 |
| 令牌号 |
如果身份验证方式是动态令牌,运维审计系统上已添加的动态令牌会显示在模板文件中,一个令牌只能和一个用户关联。 |
| 自定义用户属性 |
如果已配置自定义用户属性,这些属性会显示在模板文件中。 |
,从列表中删除该帐号。运维审计系统支持导入LDAP用户。导入运维审计系统的用户的缺省角色是操作员、状态是活动。
如果希望能定期将LDAP服务器上增、删、改的用户同步到运维审计系统上,请配置LDAP用户定期同步。如果希望LDAP用户能够直接登录运维审计系统,请在配置LDAP认证时选中新用户自动加入系统。
| 参数 | 说明 |
|---|---|
| LDAP地址 | LDAP服务器的IP地址和端口,缺省端口号是389,如果使用SSL是636。 Note:
|
| 认证方式 |
|
| baseDN | 登录运维审计系统的用户DN的范围,例如"dc=mydomain,dc=org"。 |
| objectClass | 选择设置LDAP对象类。 |
| memberOf | 选择设置用户所属的分组。 |
| 过滤条件 | 设置过滤条件来筛选用户,过滤条件的语法请参考RFC4515。 |
| 参数 | 说明 |
|---|---|
| CA | LDAP服务器的CA证书,单击浏览选择文件上传。 |
| CERT |
运维审计系统的客户端证书CERT,单击浏览选择文件上传。 如果服务器端不要求对客户端认证,可以不提供。 |
| KEY |
运维审计系统的客户端证书对应的KEY,单击浏览选择文件上传。 如果服务器端不要求对客户端认证,可以不提供。 |
| 允许忽略无效证书 | 如果选中,运维审计系统不对LDAP服务器的证书进行合法性检查;如果不选,运维审计系统将对LDAP服务器的证书进行合法性检查,对于使用非知名CA签发证书的LDAP服务器,请务必上传CA证书。 |
| 参数 | 说明 |
|---|---|
| 帐号 | 设置将LDAP服务器上的用户的什么属性作为运维审计系统的帐号,缺省值为AD中的用户名字段sAMAccountName。 Note: Open LDAP中用户名对应的字段为uid,如果是Open LDAP服务器且仍使用用户名字段作为帐号,此处就要修改为uid。
|
| 姓名 | 设置将LDAP服务器上的什么属性作为运维审计系统的姓名,缺省值为displayName。 |
| 工作邮箱 | 设置将LDAP服务器上的什么属性作为运维审计系统的工作邮箱,缺省值为mail。 |
,从列表中删除该帐号。导入时,如果运维审计系统上已存在相同的帐号,该帐号导入失败。
创建用户后,管理员可以修改用户的基本属性、自定义用户属性和高级属性。
| 参数 | 说明 |
|---|---|
| 状态 |
用户的状态,包括活动和禁用,缺省为活动。 Note: 用户的状态设置为禁用时,在线会话会在1分钟内被切断。
|
| 帐号有效期 | 帐号在运维审计系统上的有效期限。取值包括:
如果选择指定日期有效,请选择生效开始和结束日期、时和分。 用户的帐号到期时,状态显示为帐号过期,在线会话会被切断,用户登录时提示帐号状态异常,无法登录。 对于已经过期的帐号,管理员可以修改帐号的有效期,修改后立即生效。 |
| 密码有效期 |
如果身份验证选择的是本地密码或者包含本地密码的双因子认证,需要设置密码有效期。取值包括:不限、30天、90天、180天、360天、同系统配置。缺省值为同系统配置。 密码有效期的系统配置和过期处理方式请参见登录认证:配置本地密码参数。 |
| 用户登录控制 |
允许或禁止用户登录运维审计系统的时间、IP地址和MAC地址范围,各参数含义与全局配置相同,全局配置请参见配置全局用户登录控制。 单个用户登录控制的优先级高于全局配置。对于单个用户来说:
|
| 备注 | 用户的备注信息。 |
| 参数 | 说明 |
|---|---|
| 角色 | 用户的角色。 |
| 用户组 | 用户所属的组。 |
| 状态 | 用户的状态,取值包括活动和禁用。 Note: 用户的状态设置为禁用时,在线会话会被切断。
|
| 身份验证 | 用户的身份验证方式。如果选择本地密码,需要同时设置密码。 |
| Web登录是否验证X.509证书 | 是否验证用户的X.509证书。 |
| 帐号有效期 | 帐号在运维审计系统上的有效期限。取值包括:
如果选择指定日期有效,请选择生效开始和结束日期、时和分。 用户的帐号到期时,状态显示为帐号过期,在线会话会被切换,用户登录时提示帐号状态异常,无法登录。 对于已经过期的帐号,管理员可以修改帐号的有效期,修改后立即生效。 |
本节介绍如何查看用户的信息和状态。
设置完搜索条件后,还可以单击保存至快捷将该搜索条件保存为快捷标签。
用户组是指将具有相同权限的用户划为一组,配置权限时基于组来配置,从而减轻管理员的配置负担。一个用户可以加入多个组。
用户组的创建方式包括:
将用户加入用户组的方式有两种。
配置完用户组后,就可以在配置权限、会话复核、命令复核等时直接引用用户组。
,设置各参数,完成后单击创建。
| 参数 | 说明 |
|---|---|
| 分组名 | 用户组的名称。字符串格式,长度范围是1~30个字符。 |
| 部门 | 用户组所属的部门,缺省为ROOT。部门的具体配置请参见配置部门。 |
| 参数 | 说明 |
|---|---|
| 帐号 | 用户帐号包含的关键字。 |
| 姓名 | 用户姓名包含的关键字。 |
| 工作邮箱 | 用户工作邮箱包含的关键字。 |
| 用户组 | 用户所属的用户组,可以选择多个。 |
| 状态 | 用户的状态,包括:活动、密码过期、帐号过期和禁用。 |
| 角色 | 用户的角色。 |
| 最后登录时间 | 用户的最后登录时间范围。 |
| 部门 | 用户所属的部门。 |
修改名称,或者单击删除用户组。资产是被管理设备在运维审计系统上的称谓,包含资产名称、IP、系统帐号等多种属性。运维审计系统支持多种资产配置方式。
为了便于管理,运维审计系统将资产进行了分类,具体如表4.2 网络资产所示。如果运维审计系统内置的资产类型不满足需求时,请自定义资产类型。
| 资产类型 | 访问方式 |
|---|---|
| Linux |
字符终端访问协议:SSH / Telnet 图形终端访问协议:VNC / XDMCP / XFWD |
| HP UX | |
| IBM AIX | |
| IBM AS/400 |
字符终端访问协议:Telnet / TN5250 |
| Windows |
图形终端访问协议:RDP |
| 资产类型 | 访问方式 |
|---|---|
| Cisco IOS |
字符终端访问协议:SSH / Telnet |
| Huawei Quidway | |
| Juniper NetScreen | |
| H3C Comware | |
| General Network |
| 资产类型 | 访问方式 |
|---|---|
| Oracle | 客户端软件:Toad / plsqldev / SqlDbx / sqlplusw / sqldeveloperW / oem |
| MYSQL | 客户端软件:navicat / SQLyog |
| MSSQL | 客户端软件:Ssms |
| DB2 | 客户端软件:SqlDbxForDB2 / QuestCentral / ToadForDB2 |
| 资产类型 | 访问方式 |
|---|---|
| B/S |
客户端软件:Chrome / Firefox |
| C/S |
客户端软件:Radmin / SQLAdvantage / SybaseCentral4.3 / VpxClient / asdm / vncviewer |
| Weblogic |
客户端软件:Chrome / Firefox |
| B/S IE |
客户端软件:Internet Explore |
不同类型的资产,包含的属性也不相同,运维审计系统支持的常见属性如表4.5 常见资产属性所示。如果运维审计系统预定义的资产属性不满足需求时,请自定义资产的属性。
| 参数 | 说明 |
|---|---|
| 资产名称 | 资产的名称,要求在运维审计系统中唯一。 |
| 资产IP和端口 | 资产的IP地址和端口。 |
| 部门 | 资产所属的部门。 |
| 资产组 | 资产所属的资产组。资产组是资产的一种组织形式,相同权限的资产可以划分到同一个分组。配置权限时就能够以资产组为单位而不是资产,可有效减轻配置负担。 |
| 脚本类型 | 访问资产使用的脚本类型,一般用于应用系统。 |
| 访问协议 | 访问资产使用的协议,一般用于主机和网络设备。 |
| 客户端 | 访问资产使用的客户端,一般用户数据库和应用系统。例如:Firefox、Chrome、Internet Explorer。 |
| 帐号和密码 | 访问资产使用的帐号和密码。 |
| 系统编码 | 资产使用的系统编码。 |
运维审计系统支持以下几种资产创建方式:
资产创建后,需要继续配置资产的访问协议、系统帐号和密码。支持的配置方法包括批量配置(批量导入)和逐条配置。配置完成后,可以进行登录测试或者代填测试。
在运维审计系统上配置资产的基本属性、访问协议、帐号和密码。
运维审计系统缺省支持的主机资产类型包括IBM AS/400、HP UX、IBM AIX、Windows和Linux。
运维审计系统缺省支持的网络资产类型包括Cisco IOS、Huawei Quidway、Juniper NetScreen、H3C Comware和General Network。
| 参数 | 说明 |
|---|---|
| 资产名称 | 资产的名称,字符串格式,长度范围是1~100个字符。 |
| 资产IP | 资产的IP地址,IPv4和IPv6都支持。单击ping可以进行连通性测试。 |
| 简要说明 | 资产的简要说明。 |
| 部门 | 资产所属的部门,缺省为ROOT。部门的具体配置请参见配置部门。 |
| 资产组 | 资产所属的分组。资产组的具体配置请参见配置资产组。 |
| 系统编码 | 资产使用的系统编码类型,取值包括ISO-8859-1、GB18030、UTF-8等。如果系统编码选择不正确,可能会出现以下异常问题:
|
| 责任人 | 资产所属的责任人,责任人必须是在运维审计系统上已存在的用户。 |
| 参数 | 说明 |
|---|---|
| 资产名称 | 资产在运维审计系统上的名称。字符串格式,长度范围是1~100个字符。 |
| 数据库名(MySQL和DB2) | 数据库的名称。字符串格式,长度范围是1~30个字符。 |
| 连接方式(Oracle) |
数据库的连接方式,包括:
|
| 资产IP | 资产的IP地址和服务端口,IPv4和IPv6都支持。 |
| OEM URL | Oracle Enterprise Manager的URL地址。如果客户端中选择了oem,则同时必须填写OEM URL。 |
| 实例名(MSSQL) | 数据库的实例名,包括默认实例和自定义实例。字符串格式,长度范围是1~30个字符。 |
| 简要说明 | 资产的简要说明。 |
| 部门 | 资产所属的部门,缺省为ROOT。部门的具体配置请参见配置部门。 |
| 资产组 | 资产所属的分组。资产组的具体配置请参见配置资产组。 |
| 客户端 |
访问资产使用的客户端软件。 |
| 责任人 | 资产所属的责任人,责任人必须是在运维审计系统上已存在的用户。 |
| 参数 | 说明 |
|---|---|
| 资产名称 | 资产在运维审计系统上的名称。字符串格式,长度范围是1~100个字符。 |
| 资产IP | 资产的IP地址,IPv4和IPv6都支持。 |
| URL(B/S、B/S IE和Weblogic) | 资产的Web访问地址,支持HTTP和HTTPS两种格式。 |
| 脚本类型(B/S、B/S IE和Weblogic) |
用户访问资产时是否由运维审计系统代填登录信息(例如用户名和密码)。
|
| 是否限制其他URL(B/S、B/S IE和Weblogic) |
用户通过运维审计系统访问目标资产的URL时能否在同一客户端访问其他地址。
|
| 白名单(B/S、B/S IE和Weblogic) | 是否限制其他URL选择了限制时,可以配置白名单。白名单表示除了URL以外允许用户访问的地址列表。配置白名单时请使用正则表达式,一个地址一行,可配置多行。 |
| 简要说明 | 资产的简要说明。 |
| 部门 | 资产所属的部门,缺省为ROOT。部门的具体配置请参见配置部门。 |
| 资产组 | 资产所属的分组。资产组的具体配置请参见配置资产组。 |
| 客户端 |
访问资产使用的客户端软件。选择客户端软件后,需要设置对应的代填参数,确保运维审计系统能代填成功。 |
| 责任人 | 资产所属的责任人,责任人必须是在运维审计系统上已存在的用户。 |
| port(C/S) |
资产的服务端口。当客户端选择的是代填脚本支持自定义端口号的软件时(例如vncviewer、SybaseCentral4.3和Radmin),请在此配置资产的端口,确保运维审计系统能代填成功。 |
| codepage(C/S) |
资产使用的字符集。当客户端选择的是代填脚本支持自定义字符集的软件时(例如SybaseCentral4.3),请在此配置资产使用的字符集,确保运维审计系统能代填成功。 |
运维审计系统缺省支持的主机资产类型包括IBM AS/400、、HP UX、IBM AIX、Windows和Linux。
运维审计系统缺省支持的网络资产类型包括Cisco IOS、Huawei Quidway、Juniper NetScreen、H3C Comware和General Network。
| 参数 | 说明 |
|---|---|
| 资产名称 | 资产的名称,字符串格式,长度范围是1~100个字符。 |
| 资产IP | 资产的IP地址,IPv4和IPv6都支持。 |
| 资产类型 | 资产的类型。 |
| 部门 | 资产所属的部门。 |
| 编码类型 | 资产的编码类型。对于主机来说,缺省取值包括:
|
| 简要说明 | 资产的简要说明。 |
| 责任人 | 资产所属的责任人,责任人必须是在运维审计系统上已存在的用户。 |
| 资产组 | 资产所属的资产组。如果导入的分组不存在,运维审计系统将会创建该分组。同一资产可加入多个资产组,多个资产组之间请使用","分隔。 |
| 帐号名 | 访问该资产的帐号名,最多填写一个。可以不填,表示仅导入资产不导入帐号。 Note: 如果需要导入同一个资产的多个帐号,请参考批量导入帐号和密码。
|
| 密码 | 仅当填写了帐号名参数时填写,用于设置该帐号名对应的密码。可以不填,表示不托管密码。 |
| 是否特权 |
|
| 自定资产属性 |
如果已配置自定义资产属性,这些属性会显示在模板文件中。 |
,从列表中删除该资产。| 参数 | 说明 |
|---|---|
| 资产名称 | 资产的名称,字符串格式,长度范围是1~100个字符。 |
| 连接方式(Oracle) |
数据库的连接方式,包括:
|
| 部门 | 资产所属的部门。 |
| 资产IP | 资产的IP地址,IPv4和IPv6都支持。 |
| 端口 | 数据库服务的端口。各种数据库类型的缺省端口如下:
|
| 实例名(MSSQL) | 数据库的实例名,包括默认实例和自定义实例。字符串格式,长度范围是1~30个字符。 |
| 数据库名(MySQL和DB2) | 数据库的名称。字符串格式,长度范围是1~30个字符。 |
| 客户端 |
访问资产使用的客户端软件,多个软件使用“,”分隔。 |
| 简要说明 | 资产的简要说明。 |
| OEM URL(Oracle) | Oracle Enterprise Manager的URL地址。如果客户端中填写了oem,则同时必须填写OEM URL。 |
| 资产组 | 资产所属的资产组。如果导入的分组不存在,运维审计系统将会创建该分组。同一资产可加入多个资产组,多个资产组之间请使用","分隔。 |
| 责任人 | 资产所属的责任人,责任人必须是在运维审计系统上已存在的用户。 |
| 帐号名 | 访问该资产的帐号名,最多填写一个。可以不填,表示仅导入资产不导入帐号。 Note: 如果需要导入同一个资产的多个帐号,请参考批量导入帐号和密码。
|
| 密码 | 仅当填写了帐号名参数时填写,用于设置该帐号名对应的密码。可以不填,表示不托管密码。 |
| 角色(Oracle) | 用户的角色。取值包括:SYSDBA、SYSOPER和Normal。缺省值为SYSDBA。 |
| 是否特权 |
|
| 自定资产属性 |
如果已配置自定义资产属性,这些属性会显示在模板文件中。 |
,从列表中删除该资产。| 参数 | 说明 |
|---|---|
| 资产名称 | 资产在运维审计系统上的名称。字符串格式,长度范围是1~100个字符。 |
| 资产IP | 资产的IP地址,IPv4和IPv6都支持。 |
| URL(B/S、B/S IE和Weblogic) | 资产的Web访问地址,支持HTTP和HTTPS两种格式。 |
| 脚本类型(B/S、B/S IE和Weblogic) |
用户访问资产时是否由运维审计系统代填登录信息(例如用户名和密码)。
|
| 白名单(B/S、B/S IE和Weblogic) |
白名单表示除了URL以外允许用户访问的地址列表。配置白名单时请使用正则表达式,一个地址一行,多个地址使用ALT + Enter换行,示例如下: http://www.myhost.com.* http://10.10.10.* |
| 客户端 |
访问资产使用的客户端软件。 |
| 简要说明 | 资产的简要说明。 |
| 部门 | 资产所属的部门。 |
| 资产组 | 资产所属的资产组。如果导入的分组不存在,运维审计系统将会创建该分组。同一资产可加入多个资产组,多个资产组之间请使用","分隔。 |
| 责任人 | 资产所属的责任人,责任人必须是在运维审计系统上已存在的用户。 |
| 帐号名 | 访问该资产的帐号名,最多填写一个。可以不填,表示仅导入资产不导入帐号。 Note: 如果需要导入同一个资产的多个帐号,请参考批量导入帐号和密码。
|
| 密码 | 仅当填写了帐号名参数时填写,用于设置该帐号名对应的密码。可以不填,表示不托管密码。 |
| 是否特权 |
|
| 自定义资产属性 |
如果已配置自定义资产属性,这些属性会显示在模板文件中。 |
,从列表中删除该资产。创建主机和网络资产后,运维审计系统会根据资产类型创建缺省的访问协议,您也可以修改访问协议的参数或者添加新的访问协议。配置方式支持批量和逐条配置两种。
运维审计系统针对不同的资产类型提供了不同的访问协议,例如Windows主机支持的访问协议有RDP和VNC(缺省为RDP),Linux/Unix主机支持的访问协议有SSH、Telnet、VNC、XDMCP、XFWD(缺省为SSH和XDMCP)。超级管理员可以修改指定资产类型的访问协议和缺省值,具体请参见配置资产类型。
主机和网络设备支持配置协议,且配置的的方法类似,本文以主机设备为例介绍操作过程,并对差异进行说明。
对于相同类型的资产,如果访问协议相同,可以采取批量配置一次性完成。批量配置资产的访问协议时,一次只能配置一个协议。如果配置的协议已存在,则会覆盖之前的配置。
,选中资产(要求资产类型相同),单击添加。
如果资产数量大,可通过以下方式查找满足条件的资产。
| 参数 | 说明 |
|---|---|
| 名称 | 访问协议的名称,字符串格式,长度范围是1~30个字符,仅支持英文字符、数字、"-"和"_"。 |
| 说明 | 访问协议的说明。 |
| 状态 | 访问协议的状态。取值包括:
|
| 端口 |
访问协议的端口。单击连通检测,可以测试端口的连通状态。 Note:
|
| Telnet/SSH | |
| 跳转来源 |
跳转来源是指访问当前资产时从哪个设备使用哪个帐号跳转过来。例如当前设备是A,配置跳转来源为B,则用户先访问B,再从B自动跳转到A。 支持配置跳转来源的协议有SSH和Telnet,且支持自定义协议端口。运维审计系统不支持多级跳转,即被配置为跳转来源的设备不能再配置跳转来源。 作为跳转来源的设备需满足如下条件:
|
| RDP | |
| Console | 相当于Windows中mstsc的/console或者/admin选项,表示是否允许普通用户连接服务器的控制台会话(session id=0)。 |
| VNC | |
| enterprise商业版 | 运维审计系统支持Real VNC,且缺省情况下支持的是VNC Open版本,如果目标设备采用的是VNC Enterprise Edition,请选中此项。 |
| VNC密码 | VNC服务器端的密码。 |
| XFWD | |
| xfwd_cmdline命令 | 如果用户使用SSH X forwarding协议访问目标设备,部署运维审计系统后,需要在运维审计系统上增加访问协议XFWD,并且需要满足以下条件:
xfwd_cmdline命令中可以设置服务端执行的命令来进入相应的界面,示例如下。 Note: 要求目标设备上已经安装gnome、xfce4或者xterm软件。
|
,设置各参数,完成后单击确定。
参数说明如表4.6 访问协议参数说明所示。
参数说明如表4.6 访问协议参数说明所示。
创建资产后,用户可以在运维审计系统上添加访问资产的帐号和密码,即将密码托管在运维审计系统上,这样用户访问目标设备时由运维审计系统代替用户输入帐号和密码。用户也可以只添加帐号或者帐号和密码都不添加,在访问目标设备时由用户手工输入。
运维审计系统针对不同的资产类型提供了不同的缺省系统帐号,例如Windows主机的administrator,Linux主机的root。超级管理员可以修改指定资产类型的缺省系统帐号,具体请参见配置资产类型。
创建资产时,运维审计系统会根据资产的类型配置好帐号,用户可以增加新的帐号,也可以修改已有帐号的参数,配置方式支持批量导入和手工配置两种。
所有资产配置帐号的方法类似,本文以主机设备为例介绍操作过程,并对差异进行说明。
批量导入帐号和密码用于一次性将相同类型资产的密码托管在运维审计系统上的场景,运维审计系统支持导入帐号的密码、切换自、密钥和域名信息。编辑模板文件时,确保至少有一项不能为空。
,选中资产,单击添加。
如果资产数量大,可通过以下方式查找满足条件的资产。
| 参数 | 说明 |
|---|---|
| 资产名称 | 资产的名称。资产必须在运维审计系统上已存在。 |
| 帐号 |
资产的帐号,字符串格式,长度范围是1~100,不能包含"/"和中文字符。如果同一个资产存在多个帐号,每个帐号占用表格的一行。如果与已有帐号相同,表示修改已有帐号的属性。 Note: Windows帐号不区分大小写。
|
| 是否特权 |
该帐号是否为资产上的最高权限帐号,如果是请填写是,如果否请填写否。如果什么都不填写,表示保持原来的设置。 |
| 密码 | 帐号对应的密码。 |
| 支持Telnet/SSH访问协议的主机和网络设备
Note: 对于SSH,如果要配置切换自,需要使用密码方式登录,不能使用密钥方式。
|
|
| 切换自 |
切换自是指访问资产时从哪个帐号切换过来。例如当前帐号是A,切换自为B,则A用户访问资产时运维审计系统会先使用B帐号登录,再切换到A帐号。用于A不能直接登录目标资产的场景。 支持配置切换自的协议包括SSH和Telnet,且支持自定义协议端口。 作为切换自的帐号和所在的资产需满足如下条件:
运维审计系统支持跳转来源和切换自结合使用,例如资产A跳转来源为资产B,对应资产A系统帐号root切换自资产B帐号admin。 |
| 密钥 | 对于支持SSH访问协议的Linux、HP、IBM AIX主机类资产和网络资产,使用密钥方式登录时,请填写密钥标识,密钥的配置请参见配置密钥。 |
| Windows和MSSQL
Note: 如果同时配置了密码和域名,优先使用域名。
|
|
| 域名 | 对于Windows域用户,请填写域名称,域的配置请参见配置Windows域。 |
| Oracle | |
| 角色 | 用户的角色。取值包括:SYSDBA、SYSOPER和Normal。缺省值为SYSDBA。 |
,从列表中删除该帐号和密码。| 参数 | 说明 |
|---|---|
| 帐号名称 | 帐号的名称,字符串格式,长度范围是1~100,不能包含"/"和中文字符。 |
| 设为特权帐号 | 如果该帐号是目标资产上的特权帐号,请选中。 |
| 设置密码/确认密码 | 帐号对应的密码。 |
| 支持Telnet/SSH访问协议的主机和网络设备
Note: 对于SSH,如果要配置切换自,需要使用密码方式登录,不能使用密钥方式。
|
|
| 切换自 |
切换自是指访问资产时从哪个帐号切换过来。例如当前帐号是A,切换自为B,则A用户访问资产时运维审计系统会先使用B帐号登录,再切换到A帐号。用于A不能直接登录目标资产的场景。 支持配置切换自的协议包括SSH和Telnet,且支持自定义协议端口。 作为切换自的帐号和所在的资产需满足如下条件:
运维审计系统支持跳转来源和切换自结合使用,例如资产A跳转来源为资产B,对应资产A系统帐号root切换自资产B帐号admin。 |
| 私钥(仅SSH协议) | 对于支持SSH访问协议的Linux、HP、IBM AIX主机类资产和网络资产,使用密钥方式登录时,请选择对应的密钥标识,密钥的配置请参见配置密钥。 |
| Windows和MSSQL
Note: 如果同时配置了密码和Domain,优先使用Domain。
|
|
| Domain | 对于Windows域用户,请填写域名称,域的配置请参见配置Windows域。 |
| Oracle | |
| 角色 | 用的角色。取值包括:SYSDBA、SYSOPER和Normal。缺省值为SYSDBA。 |
参数说明如表4.8 资产的帐号和密码参数(手工配置)所示。
运维审计系统支持将多个资产划为一组,这样在配置动态权限、高危操作等时基于组来配置,从而减轻管理员的配置负担。一个资产可以加入多个资产组。
将资产加入资产组的方式有两种。
配置资产组后,您可以在动态权限、高危命令、会话复核、改密计划等配置过程中直接引用资产组。
,设置各参数,完成后单击创建资产组。
| 参数 | 说明 |
|---|---|
| 名称 | 资产组的名称。字符串格式,长度范围是1~30个字符。 |
| 简要描述 | 资产组的简要描述。字符串格式,长度范围是0~60个字符。 |
| 部门 | 资产组所属的部门,缺省为ROOT。部门的具体配置请参见配置部门。 |
如果资产数量大,可通过以下方式查找满足条件的资产。
修改名称,或者单击删除资产组。本节介绍如何查看资产的信息和状态。
设置完筛选条件后,还可以单击保存至快捷将该筛选条件保存为快捷标签。例如筛选条件中将是否禁用设置为禁用,完成后单击保存至快捷,界面上方就会出现禁用的快捷标签,单击该标签可以快速查看所有被禁用的资产。
设置完搜索条件后,还可以单击保存至快捷将该搜索条件保存为快捷标签。
运维审计系统支持动态地展示资产层级结构以及各节点下的资产,并对资产进行查看、新建、编辑、删除、导出等操作。
运维审计系统根据配置视图的层级中的层级结构展示所有资产,视图会根据层级关系的变化动态调整。动态视图的各个层级可以是不同的资产属性,也可以是部门的层级(必须完成了部门层级的配置)。本节以配置为不同的资产属性为例进行介绍。
对于作为动态视图层级节点的属性,如果资产的属性值为空时,运维审计系统自动创建空节点与之对应。例如图4.1 菜单布局的动态视图中视图的层级中定义第1层节点为“责任人”,图中上面两个资产已配置责任人为admin,则这两个资产在admin节点下面,下面两个资产没有配置责任人,则在空节点下面。
动态视图有两种布局方式,一种是菜单,一种是树形。其中树形布局还能以横向或者纵向方式展示。在菜单布局下,单击
切换到树形布局;树形布局下单击
切换到菜单布局。
| 按钮 | 说明 |
|---|---|
 |
收起、展开节点。 |
 |
放大字体。 |
 |
缩小字体。 |
 |
切换树形布局的横向、纵向展示方式。 |
或者
,对资产进行排序。
,选择列表中显示的资产属性。
运维审计系统使用资产的属性作为视图的层级节点,并根据视图层级结构动态地生成视图来展示资产。
运维审计系统支持资产的以下属性作为视图层级节点:
缺省情况下,运维审计系统已提供了根节点和第1层节点。
| 参数 | 说明 |
|---|---|
| 根节点名称 | 根节点的名称,字符串格式,长度范围是1~30个字符。缺省值为root。 |
| 第1层节点 | 视图的第1层节点,取值为资产的属性,缺省值为系统类型。 |
重复执行本步骤,完成视图各层级节点的配置。
| 按钮 | 说明 |
|---|---|
|
收起、展开视图的节点。 |
|
放大视图,从而更清楚地查看局部细节。 |
|
缩小视图,从而查看视图的总体情况。 |
修改或者删除视图的层级节点后,资产的动态视图及时跟随调整。
如果用户希望通过运维审计系统以Windows域的方式登录RDP资产,需要在这里配置Windows域。
| 参数 | 说明 |
|---|---|
| 域名 | 域的名称。字符串格式,长度范围是1~30个字符。 |
| 域IP | 域控主机的IP地址。 |
| 简要说明 | 域的简要说明。 |
| 部门 | 域所属的部门。 |
,设置特权帐号的相关信息,完成后单击确定。
| 参数 | 说明 |
|---|---|
| 帐号名称 | 输入域控主机上具有查询权限帐号的用户名。 |
| bindDN | 输入该帐号的DN,例如CN=Administrator,CN=Users,DC=example,DC=com。 通过域控主机执行CMD命令获得: dsquery user -name username |
| 帐号密码/确认密码 | 输入该帐号的密码。 |
Windows域配置完成后,管理员再执行以下操作即可实现使用Windows域用户访问Windows域中的资产。
从域中同步帐号。管理员可以通过密钥管理功能新建密钥,以支持SSH会话使用密钥方式登录。
运维审计系统支持两种新建密钥的方式:
| 参数 | 说明 |
|---|---|
| 类型 | 密钥的类型,取值包括RSA和DSA。 |
| 长度 | 密钥的位数,取值包括1024/2048和4096,位数越大安全性越高。 |
| 标识 | 密钥的标识。在资产的系统帐号中,通过该标识引用密钥。 |
| 部门 | 密钥所属的部门。仅当该部门的配置管理员可以使用该密钥。 |
| 参数 | 说明 |
|---|---|
| 标识 | 密钥的标识。在资产的系统帐号中,通过该标识引用密钥。 |
| 部门 | 密钥所属的部门。 |
| 密码 | 如果粘贴的密钥设置了密码,在此处输入该密码。 |
| 粘贴 | 将已有的私钥内容粘贴进去。 |
对等价资产中任意一个资产进行运维审计系统上的配置修改,配置会自动同步到等价资产中的其他成员。等价资产多用于HA或者集群环境。
同一个设备,出于被访问的需求,在运维审计系统中可能被配置成为多个资产。例如一个既有真实IP,又有虚拟IP的主机,在运维审计系统中基于IP地址被配置成为两个资产,这两个资产就是等价资产。
在添加等价资产之前,管理员需要确认待添加的等价资产属性是一致的,否则将无法组成等价资产;修改等价资产在运维审计系统上配置,只有关键的配置会被同步。
| 资产类型 | 组成条件 | 同步的配置 |
|---|---|---|
| 主机/网络 |
|
|
| 数据库 |
|
|
| 应用系统(B/S) |
|
|
| 应用系统(C/S) |
|
|
| 参数 | 说明 |
|---|---|
| 名称 | 等价资产的名称。字符串格式,取值范围是1~30个字符。 |
| 添加资产 | 单击 选择资产。 |
| 责任人 | 等价资产的责任人。 |
| 简要说明 | 等价资产的简要说明。 |
对等价帐号中的任何一个帐号进行运维审计系统上的密码修改,密码都会同步到等价帐号中的其他成员。
同一个资产,因为使用目的的不同会被配置成为两种资产类型。例如防火墙设备,既有SSH访问接口,又有Web访问接口,管理员会创建主机类型的资产以满足SSH访问,创建应用系统类型的资产以满足Web访问。由于访问这两种资产类型的帐号都是一致的,这类型帐号被称为等价帐号。
等价帐号组成条件:等价帐号可以跨资产类型,但是必须是相同帐号名,且以密码类型登录(密钥登录、切换自登录不行)。
等价帐号同步的配置:等价帐号只能同步密码。
| 参数 | 说明 |
|---|---|
| 名称 | 等价帐号的名称。字符串格式,取值范围是1~30个字符。 |
| 资产 | 单击选择资产。 |
| 帐号名 | 等价帐号的帐号名。 |
| 简要说明 | 等价帐号的简要说明。 |
对于有些比较特殊的登录提示符,通过内置代填提示符无法匹配成功时,需要针对这些资产进行适配。
在以下场景,运维审计系统会代填用户名和密码。
运维审计系统已内置了通用的登录提示符,涵盖了大多数字符设备,这些设备运维审计系统都能代填成功。
当通用的登录提示符满足不了需求时,运维审计系统支持用户自定义登录提示符。配置登录提示符时,可以针对单个资产配置,也可以针对资产类型配置。匹配时单个资产登录提示符的优先级最高,资产类型的次之,通过的最低。
管理员在配置资产适配提示符中,可以只配置通用提示符处理不了的过程,不需要全都过程都填写。例如,一台设备的普通用户提示符是“-”,通用提示符对于其他登录过程都支持,则管理员只需要修改普通提示符为“-”,其他登录过程会按照通用提示符进行匹配。
| 参数 | 说明 |
|---|---|
| 资产分类 | 取值包括资产类型和资产。如果选择资产类型,请继续选择具体的资产类型;如果选择资产,请单击添加具体的资产。 |
| 部门 | 资产所属的部门。 |
| 服务选项 |
|
| 帐号 | 资产的帐号。如果留空,代表匹配所有帐号。 |
| 普通提示符 | 普通帐号的提示符,字符串格式,长度范围是1~100个字符,支持正则表达式。默认提示符为>。 |
| 特权提示符 | 特权帐号的提示符,字符串格式,长度范围是1~100个字符,支持正则表达式。默认提示符为#。 |
| 帐号切换命令 | 帐号的切换命令,字符串格式,长度范围是1~100个字符,支持正则表达式。默认切换命令为su。 当配置了使用切换自的资产,且切换命令非默认切换命令时,需要配置该值。 |
| 切换密码提示 | 切换时的密码提示符,字符串格式,长度范围是1~100个字符,支持正则表达式。通用切换密码提示为Password:。 当配置了使用切换自的资产,且切换密码提示非默认切换命令时,需要配置该值。 |
| 登录名提示 | 系统的登录名提示符,字符串格式,长度范围是1~100个字符,支持正则表达式。默认登录名提示为login:。 当资产的登录名提示非默认登录名提示时,需要配置该值。 |
| 登录密码提示 | 系统的登录密码提示符,字符串格式,长度范围是1~100个字符,支持正则表达式。通用登录密码提示为Password:。 当资产的登录密码提示符非默认登录密码提示符时,需要配置该值。 |
用户通过运维审计系统访问B/S、C/S应用系统,运维审计系统在代填帐号、密码等登录信息时,不同的客户端支持情况有所不同。
| 客户端名称和版本 | 资产类型和版本 | 登录代填 | 备注 |
|---|---|---|---|
| Firefox 55 ~ 59 |
|
支持 | 无 |
| Chrome 65 | |||
| Internet Explorer 11 | B/S IE | 支持 |
|
| sqlplusw 10(图形界面) | Oracle:
|
支持 | 无 |
| SqlDbx英文版 | |||
| Toad 12英文版 | |||
| PL/SQL Developer 11.0英文版 | |||
| OEM |
|
B/S模式下支持 | Oracle 9i和Oracle Database 10g不支持。 |
| SQL Developer 1.5.5 | Oracle | 不支持 | 无 |
| SSMS 2014中文版 | SQL Server | 支持 | 连接方式为TCP,且身份认证方式为SQL Server(Windows身份认证方式不支持) |
| Navicat中文版 | MySQL | 支持 | 无 |
| SQLyog中文版 | MySQL | 支持 | 无 |
| Quest Central | DB2 | 不支持 | 无 |
| SqlDbx for DB2英文版 | DB2 | 支持 | 无 |
| Toad for DB2 | DB2 | 支持 | 用户第一次登录时由于会出现引导页面而导致无法代填,请手工填写。 |
| SQL Advantage | C/S | 支持 | 无 |
| vncviewer 5.2.3中文版 | C/S | 支持 | 无 |
| Radmin 3.4 | C/S | 支持 | 无 |
| ASDM | C/S | 支持 | 无 |
| VpxClient 6.0 | C/S | 支持 | 无 |
| Sybase Central v4.3 | C/S | 支持 | 无 |
通过权限配置,用户可以实现对运维审计系统资产的访问。
用户通过运维审计系统可以访问在其上的资产,需要针对不同权限的用户指定其相应的访问规则。
例如:指定系统管理员只能访问主机类型资产,不能访问网络类型资产。
例如:felix帐号使用administrator帐号和RDP协议访问Windows2012资产。
运维审计系统还支持从资产访问的各种角度对权限进行精细化管理。
在运维审计系统有两种配置权限的方法:
通过变更单、动态权限配置基础权限,通过规则模板配置扩展权限。
动态权限可以让管理员快速、灵活地配置权限。
管理员通过指定动态权限的基础四要素(用户、资产、协议、帐号),可以快速地完成权限配置。配置四要素时,既可以指定具体的取值,也可以指定筛选规则。
指定规则可以让管理员针对各种属性做出灵活地匹配。管理员可以指定多条规则,各条规则之间关系是并集关系。即满足任一规则,用户即可访问。
当管理员在运维审计系统上添加用户、资产、访问帐号的时候,已经设置了相关的属性,例如针对用户的用户名、工作邮箱、角色、认证方式等;针对资产的资产名、IP、责任人等。可以通过条件匹配的方式,匹配出具有相同属性的内容。
运维审计系统中的数据有两种格式,一种是字符串格式,一种是日期格式。
字符串格式:运维审计系统中大多数据属于这种格式,可以使用的匹配方法为:=、!=、>、<、>=、<=、包含、不包含、正则匹配、正则不匹配、前缀为、非前缀为、后缀为、非后缀为。
日期格式:运维审计系统中指定了扩展信息并且使用了日期类型的数据属于这种格式,可以使用的匹配方法为:在日期范围内、不在日期范围内。日期格式只能和日期格式进行匹配,如果使用字符串格式和日期格式进行匹配,内容即使一致,匹配也会失败。
| 匹配方式 | 说明 |
|---|---|
| = | 被匹配的数据要和内容完全匹配。 |
| != | 被匹配的数据要和内容完全不匹配。 |
| > | 被匹配的数据的ASCII码要大于内容的ASCII码。 |
| < | 被匹配的数据的ASCII码要小于内容的ASCII码。 |
| >= | 被匹配的数据的ASCII码要大于或等于内容的ASCII码。 |
| <= | 被匹配的数据的ASCII码要小于或等于内容的ASCII码。 |
| 包含 | 被匹配的数据要包含内容。 |
| 不包含 | 被匹配的数据要不包含内容。 |
| 正则匹配 | 被匹配的数据要和内容的正则表达式完全匹配。 |
| 正则不匹配 | 被匹配的数据要和内容的正则表达式完全不匹配。 |
| 在日期范围内 | 被匹配的数据的日期要在时间范围内。 |
| 不在日期范围内 | 被匹配的数据的日期不要在时间范围内。 |
| 前缀为 | 被匹配的数据的前缀要内容完全匹配。 |
| 非前缀为 | 被匹配的数据的前缀要内容完全不匹配。 |
| 后缀为 | 被匹配的数据的后缀要内容完全匹配。 |
| 非后缀为 | 被匹配的数据的后缀要内容完全不匹配。 |
| 参数 | 说明 |
|---|---|
| 名称 | 动态权限的名称。字符串格式,长度范围是1~30个字符。 |
| 规则模板 | 动态权限引用的规则模板,具体请参见配置规则模板。 |
| 部门 | 动态权限所属的部门,缺省为ROOT。部门的具体配置请参见配置部门。 |
| 用户 | 设置能够访问目标资产的用户。
|
| 资产 | 设置待访问的目标资产。
|
| 协议 | 访问目标资产使用的协议。
Note: 协议部分中没有列出Tn5250协议,如需启用,请勾选全部协议。
|
| 帐号 | 访问目标资产使用的帐号。
|
变更单是一个Excel表格,在上面可以填写名称、申请人、到期时间、使用人、使用资产、访问帐号、协议等信息。最后将变更单上传到运维审计系统形成访问权限。
用户按照运维审计系统提供的变更单模板填写变更单内容,提交访问资产的申请,将权限加载到运维审计系统中,此配置方法还可以设置权限到期时间。
| 参数 | 说明 |
|---|---|
| 申请单名称 | 变更申请单的名称。字符串格式,长度范围是1~128个字符。 |
| 申请人帐号 | 申请人的帐号,该帐号必须在运维审计系统上存在且状态为活动。 |
| 部门 | 变更单所属的部门。 |
| 到期时间 | 申请单中权限到期日期和时间。 |
| 申请原因 | 变更单申请原因。 |
| 权限 |
变更单申请的权限清单。一个变更单中可以有多条权限,一条权限对应一行。每条权限包含以下字段:
|
变更单导入运维审计系统后,管理员可以进行以下操作:
禁用的变更单在默认不显示在页面上,如果需要重新启用,单击筛选,选中状态为禁用,筛选出禁用的变更单。如果要重新启用该变更单,请单击启用。
扩展的访问权限可以在这里配置。
权限配置除了配置用户、资产、访问帐号的基础权限,还可以配置磁盘映射、文件传输等扩展权限。运维审计系统中的扩展权限是通过规则模板配置的。
规则模板
规则模板中可以定义磁盘映射、剪贴板上下行、文件传输上下行、文件传输单文件大小限制等权限,管理员可以配置基础权限的规则模板来增加对基础权限的限制。规则模板中可以定义多个规则列表。
规则列表
规则列表属于规则模板中的详细条目,规则列表可以对访问时间、访问IP做限制。一个规则模板中可以有多个规则列表。当用户访问时,会按照规则列表中从上至下,逐一匹配的方式,当所有规则列表都不匹配,最终会匹配规则模板中的控制策略。
运维审计系统中有一条名为Default的默认规则模板,该规则模板开放了所有的访问。
| 参数 | 说明 |
|---|---|
| 模板名称 | 定义该规则模板名称。 |
| 控制策略 | 选择该条策略禁止或允许访问。 |
| 设为全局缺省模板 | 运维审计系统中有且只能有一个缺省模板。如果存在缺省模板,配置新的缺省模板,会发生抢占。如果删除缺省模板,系统会提示“系统必须存在一个全局缺省登录模板”。 |
| 工单缺省模板 | 运维审计系统中有且只能有一个工单缺省模板。如果存在缺省模板,配置新的缺省模板,会发生抢占。如果删除缺省模板,系统会提示“系统必须存在一个全局缺省工单规则模板”。 |
| 允许客户端磁盘映射 | 针对通过Windows RDP方式的访问,是否允许磁盘映射。 |
| 剪贴板 | 针对图形会话的访问,能否使用剪贴板上下行。 |
| 文件传输权限 | 是否允许Web页面云盘模式和SFTP模式的文件上传、下载。 |
| 上传/下载单文件限制 | 通过Web页面云盘模式进行传输,当文件超出该限制,无法上传、下载。 通过SFTP模式,当文件超出该限制,无法下载,但可以上传,只上传单文件限制部分的大小。例如限制2MB,只上传文件的前2MB部分。 |
| 事件级别 | 当使用告警事件功能时,访问资产可以产生告警事件并发送到日志服务器或邮箱。在这里定义告警事件的级别。 当定义的告警事件级别不低于系统定义的最低级别,访问资产将发送日志到日志服务器或邮箱。 告警事件,配置方法参考基本设置:配置告警事件。 |
| 标题 | 告警事件使用什么标题来标记这次的访问事件。标题将出现在当前访问日志的记录中,以方便管理员查看,并且该标题下记录了访问的详细参数。 |
IP范围说明
时间范围说明
可以多种格式组合,中间通过空格隔开,例如:m[1,3-5,12] d[1,5,7,31] w[1-3,5,7] T[08:30-16:00]。
按用户查看访问权限,会分别列出变更单、动态、工单方式产生的访问权限。
按资产查看访问权限,会分别列出变更单、动态、工单方式产生的访问权限。
管理员通过配置会话复核或高危命令规则,可以对操作员访问资产和执行命令进行控制,以减小操作员访问资产及执行操作可能存在的风险。
能够使用配置高危操作的角色包括:超级管理员、配置管理员、操作员及其他自定义的拥有高危操作授权的用户。但操作员仅具有进行命令复核和查看复核日志的权限,不能对高危操作规则进行设置。管理员可以通过配置高危操作规则,对特定的操作员访问特定的资产要求在进行复核后才能访问,或对操作员执行特定的命令,要求在进行复核后才能执行或直接拒绝执行,从而达到访问控制和命令控制的目的。
运维审计系统中的配置高危操作,包括配置会话复核和高危命令两部分:当管理员正确地完成了配置会话复核或配置高危命令后,操作用户的访问操作如果匹配会话复核或高危命令中的规则,复核人将收到复核提醒。收到复核提醒后,请复核人登录Web界面并进行复核。
复核高危操作又分为复核会话和复核高危命令,其中复核高危命令又分为离线复核和在线复核。本节将分别对这几种复核操作进行介绍。
会话的复核人,只能为操作用户所选取的固定的一个复核人;命令的复核人,可以是所有可用复核人中的任意一个,每个可用复核人都会收到复核申请消息,当有一个复核人完成复核之后,其他复核人将不能再进行复核。
复核会话要求复核人能够成功打开字符或图形会话,即当前中的配置正确,且本地PC安装了对应的会话客户端。
当复核人为使用动态令牌登录,或使用的双因子认证中包含动态令牌的用户时,如复核人暂时无法进行复核,经协商一致,复核人可以将自己的PIN2码及动态令牌的动态密码发给操作员,并由操作员自己进行会话复核,具体方法参见:操作员自行复核。
提醒图标,查看收到的待复核会话的提醒,并单击查看详情,跳转到复核申请列表页面。也可以直接选择。
仅当命令模板中的规则对应的执行动作为需复核时,复核人才会收到命令复核申请,其他执行动作不会触发命令复核申请。
提醒图标,查看收到的待复核命令的提醒,并单击查看详情,跳转到复核申请列表页面。也可以直接选择。
前提:该复核人已参照复核会话打开了会话复核窗口,并观看操作用户的所有操作。
复核人可以在Web界面中查看自己所完成的所有会话复核和命令复核的日志。
| 项目 | 说明 |
|---|---|
| 会话类型 | 字符会话或图形会话。 |
| 操作用户 | 操作用户的用户名和姓名。 |
| 操作资产 | 建立会话的资产在运维审计系统上的名称。 |
| 帐号 | 操作用户登录资产所使用的资产帐号。 |
| 完成时间 | 会话结束后到现在已经过去的时间。如会话仍在进行,则该项显示为空。 |
| 会话时长 | 会话持续时间。如会话仍在进行,单击刷新。 |
| 状态 | 会话状态:
|
| 操作 | 单击详情可查看该会话的更多详情,包括:
|
| 项目 | 说明 |
|---|---|
| 复核类型 | 固定取值为命令复核。 |
| 复核内容 | 操作用户执行的具体命令。 |
| 操作用户 | 操作用户的用户名。 |
| 操作资产 | 建立会话的资产在运维审计系统上的名称。 |
| 帐号 | 操作用户登录资产所使用的资产帐号。 |
| 发起时间 | 发起命令复核到现在已经过去的时间。 |
| 状态 | 会话状态:
|
| 复核结果 | 允许执行或拒绝执行,表示命令被复核人允许或阻断。 |
管理员可以通过在Web界面的会话复核菜单中定义各种规则,来控制具体的会话复核行为,即要求特定的操作用户在访问特定的资产时,必须由特定的复核人进行复核之后,才能在该资产上执行各种操作。
如配置了多条操作用户和资产有重复的会话复核规则,则受多条规则影响的操作用户在启动会话时,复核人列表将是所有匹配的会话复核规则中定义的可用复核人的并集。
,在弹出的对话框中选择用户或用户组页签,勾选待添加的用户或用户组。
,在弹出的对话框中选择用户或用户组页签,勾选待添加的用户或用户组。可以勾选临时操作用户,将所有临时用户也都添加到待复核的操作用户名单中。
,在弹出的对话框中选择资产或资产组页签,勾选待添加的资产或资产组。
事件级别由低到高依次为:NONE (不发送告警事件)—>DEBUG(调试级)—>INFORMATIONAL(通知级)—>NOTICE(注意级)—>WARNING(告警级)—>ERROR(错误级)—>CRITICAL(临界级)—>ALERT(警戒级)—>EMERGENCY(致命级)。
,在弹出的窗口中,查看指定规则对应的可用的复核人、操作用户、资产有哪些。管理员可以通过在Web界面的高危命令菜单中定义各种规则,针对特定的用户、资产、帐号启用特定的高危命令模板,从而对用户在字符会话中的操作行为进行控制。
高危命令只对Telnet/SSH字符会话有效,如通过XDMCP或XFWD等图形会话方式打开字符终端并执行命令,将不受高危命令的约束。
高危命令的上下顺序代表优先级高低,单击
或
可以调整优先级。当配置了多个命令模板,命令模板中有多条可匹配的规则时,建立会话时的命令权限检查流程流程图如图5.2 命令权限检查流程图所示。
本节以新增一条高危命令规则为例,对配置高危命令进行指导。在已添加了高危命令规则之后,也可以通过单击对应的编辑和删除按钮,对已有的高危命令规则进行管理。
如果所有的高危命令的都无法匹配,则使用此全局缺省策略。全局缺省策略的缺省值为允许执行。
,在弹出的对话框中选择用户或用户组页签,勾选待添加的用户或用户组。
操作用户默认勾选全部用户。如需单独设置操作用户,请去勾选全部用户,并单击,在弹出的对话框中选择用户或用户组页签,勾选待添加的用户或用户组。可以勾选临时操作用户,将所有临时用户也都添加到待复核的操作用户名单中。
管理员也可以选中排除以下用户,然后选择要排除的用户。
资产默认勾选全部资产。如需单独设置资产,请去勾选全部资产,并单击,在弹出的对话框中选择资产或资产组页签,勾选待添加的资产或资产组。如添加了多个资产和资产组,且互相之间有重复资产,则将取所有勾选的资产和资产组之间的并集。
管理员也可以选中排除以下资产,然后选择要排除的资产。
默认勾选全部帐号,即操作用户使用任何帐号访问特定资产时都会触发高危命令。如需单独设置帐号,请去勾选全部帐号,请在下方的对话框中,输入要添加的帐号,并按回车确定。单击该对话框也将列出运维审计系统上记录的这些资产所拥有的所有帐号,选中某个帐号或者按回车之后,该帐号将在下方列出,表示添加成功。
管理员也可以选中排除以下帐号,然后输入要排除的帐号,多个帐号之间用英文逗号","分隔。
配置生效时间的格式如下:
利用该功能,可以实现以下效果:
事件级别由低到高依次为:NONE (不发送告警事件)—>DEBUG(调试级)—>INFORMATIONAL(通知级)—>NOTICE(注意级)—>WARNING(告警级)—>ERROR(错误级)—>CRITICAL(临界级)—>ALERT(警戒级)—>EMERGENCY(致命级)。
,在弹出的窗口中,查看指定规则对应的可用的复核人、操作用户、资产有哪些。命令模板定义了高危命令触发的基本规则,即哪些命令会触发高危命令事件,以及触发之后具体执行的动作,包括:允许、拒绝、需复核、通知和终止会话。
支持rm -rf只能匹配到完整的rm
-rf命令,无法匹配到rm -rf files,需要将表达式写成rm
-rf.*从而匹配到命令rm -rf files。shutdown可以匹配到shutdown本身,也可以匹配到shutdown 参数的情况,如shutdown -r。当用户执行的命令中存在|、&或;时,运维审计系统会将这些符号视作分隔符,并将分隔符前后当做不同命令来处理。因此,不能使用通配符匹配命令中的这些分隔符。当被分隔符分隔的命令受不同规则控制时,通知会被执行,其他动作会按照以下优先级:断开会话>拒绝>需复核>允许,只执行优先级最高的动作。
同一模板中的多条规则按从上到下的顺序对应从高到低的优先级。假如同一条命令匹配上了不同的规则,则只会按照这些规则中最上面的一条规则,执行对应的动作。可以在进行规则管理时单击
或
,对规则优先级进行调整。
本节以新增一个命令模板为例,对配置命令模板进行指导。在已添加了命令模板之后,也可以通过单击对应的规则管理按钮编辑规则,或单击编辑按钮编辑模板名称和缺省策略,单击删除按钮删除模板,从而对已有的命令模板进行管理。
| 参数 | 说明 |
|---|---|
| 命令模板名称 | 用于标识一个命令模板,全局唯一,长度为1~30的字符串。 |
| 缺省策略 |
如果资产、用户和帐号都匹配上,但规则中配置的命令没有匹配上时运维审计系统采取的缺省策略,取值包括:
|
| 执行动作 | 说明 |
|---|---|
| 允许 | 匹配上的命令将被允许执行。 |
| 拒绝 | 匹配上的命令将被拒绝执行。 |
| 终止会话 | 用户执行一条匹配的命令时,将在收到提示后直接断开该会话。 |
| 需复核 | 用户执行一条匹配的命令时,将收到需要复核的提醒。操作员确认后,复核人将收到复核提醒。完成复核后,该命令才能执行。 |
| 通知 | 不影响用户执行命令,但如配置了syslog日志通知、邮件通知、短信提醒等功能,该命令将触发事件并作为日志、邮件、短信的内容通知日志服务器或通知对象。 |
rm,拒绝rm
-rf.*,且设置允许的优先级较高,就可以实现只允许rm,并可以搭配其他参数,但拒绝rm
-rf.*。或调整各规则之间的优先级。
能够访问资产的用户角色包括:操作员、超级管理员、配置管理员、自动化管理员及其他自定义的拥有资产访问授权的用户角色。本章节指导用户完成运维审计系统所有基本的资产访问操作。资产访问可以通过Web界面访问,也可以直接通过RDP或SSH/Telnet工具先登录到运维审计系统后,再跳转访问各种资产。
| 资产类型 | 说明 |
|---|---|
| 主机 | 包含Windows、Linux、HP UX、IBM AIX、IBM AS/400。 |
| 网络设备 | 包含Cisco IOS、Huawei Quidway、Juniper NetScreen、H3C Comware、General Network。 |
| 数据库 | 包含Oracle、MSSQL、MYSQL、DB2。 |
| 应用系统 | 包含B/S、C/S、Weblogic、BS IE。 |
| 访问协议 | 说明 |
|---|---|
| SSH | Secure Shell。一种字符终端服务,但是因为使用加密通信因此更加安全。SSH目前已经广泛用于各种Unix-like类和网络设备中,其默认通信端口为TCP 22。 |
| Telnet | 字符终端服务之一,主要用于网络设备、各种带外管理口和较老的Unix、Linux设备中,默认的通信端口为TCP 23,是一种明文传输方式。 |
| RDP | Remote Desktop Protocol,远程桌面协议。是由微软开发的一种专有图形会话协议,默认通信端口为TCP 3389。 |
| XDMCP | X Display Manager Control Protocol,Unix中默认的图形访问协议。使用该服务要求目标设备开启UDP 177端口。 |
| VNC | Virtual Network Computing。一种使用RFB协议的显示屏画面分享及远程操作软件。此软件借由网络,可发送键盘与鼠标的动作及即时的显示屏画面。VNC与操作系统无关,因此可跨平台使用。默认通信端口为5900,也可以设置在5900-5999之间。 |
| XFWD | X11 Forwarding。一种采用SSH进行端口转发,实现Unix-like设备图形访问的方法。使用该服务要求必须为目标设备配置SSH服务,并开放目标设备上sshd服务的X Forward功能。 |
| SFTP | SSH File Transfer Protocol,也称Secret File Transfer Protocol,SSH文件传输协议,是一种数据流连接,提供文件访问、传输和管理功能的网络传输协议。 |
| TN5250 | 一种字符会话协议,用于运维审计系统和IBM AS/400之间的通信。 |
访问运维审计系统中的资产,需要先根据资产管理和权限管理,配置添加好对应的资产及权限,然后查找到对应的资产并进行访问。
在Web界面中查找资产主要有以下方式:
,将该条资产加入登录用户的收藏中。通过运维审计系统建立会话有以下3种方式。
为了保证安全性,运维审计系统要求用户不能直接从本地终端访问目标资产,而是先登录运维审计系统,再通过运维审计系统访问目标资产,从而使用户可以访问目标资产,即建立起本地终端和目标资产之间的会话。
通过运维审计系统的Web界面建立会话,支持运维审计系统中所允许的所有形式的访问。基于Web界面的各种资产访问方式的步骤基本一致,只在前提条件和配置步骤上有一些差异,本文仅给出通用的步骤,并对不同访问方式的差异进行说明。
当前登录帐号使用的全局会话设置,请在帐号设置菜单中修改。请参考修改会话配置完成帐号会话配置的修改。
针对不同的资产类型和通信协议,访问相应的资产需要满足的前提条件如下。如资产无法访问,请联系管理员检查以下前提条件是否满足,并参考资产管理和权限管理完善配置。主机和网络设备
| 主机类型 | 协议类型 | 前提条件 |
|---|---|---|
| Linux、HP UX、IBM AIX主机和各种网络设备 | SSH |
|
| Telnet |
|
|
| VNC |
|
|
| XDMCP |
|
|
| XFWD |
|
|
| SFTP |
|
|
| Windows主机 | RDP |
|
| VNC |
|
|
| IBM AS/400主机 | Telnet | telnet协议
|
| TN5250 |
|
应用系统
通过Web界面建立会话的配置步骤如下:
| 参数 | 说明 |
|---|---|
| 系统帐号 | 除了VNC登录之外的其他登录方式都需要配置。用于标识登录对应资产时所使用的帐号。有以下几种类型:
Note:
|
| 客户端 | 仅当访问的资产是数据库、应用系统时需要配置。 用于选择使用哪种客户端打开对应的资产。选项范围为由超级管理员全局添加并由配置管理员在配置资产时勾选的所有客户端。 |
| 屏幕大小 | 仅当帐号设置中RDP会话使用mstsc方式启动,且待访问的资产为Windows主机或应用系统时为需要配置。应用系统需要该应用的远程客户端设置中,RemoteAPP参数设置为不使用,否则将不显示该参数。 用于选择打开的远程会话的屏幕的分辨率。 |
| 磁盘映射 | 仅当帐号设置中RDP会话使用mstsc方式启动,并且访问的资产是Windows主机(使用RDP方式登录)、应用系统时需要配置。用于标识是否启用磁盘映射并选择磁盘映射的盘符。 启用磁盘映射,并勾选或手动设置待映射的盘符,将本地PC对应盘符的硬盘,映射到待访问的资产上,使访问者可以直接在该资产上对本地PC上的相应硬盘进行读写操作。 |
| 启用Console连接 |
仅当使用RDP方式登录Windows主机,且该资产的RDP访问协议设置中勾选了console时显示该参数。 仅当待访问的主机系统是Windows Server时需要启用Console连接。启用Console连接表示使用/console参数登录Windows Server 2003,从而打开一个session id为0的控制台会话,或使用/admin参数登录Windows Server 2008/2012/2016,打开一个session id为0的管理员模式的会话。
|
,也可以直接单击该图标,采用和上次访问同样的配置再次访问该资产,或单击更多,选择其他访问过的配置。主机和网络设备即使没有被访问过,也会默认显示一个图标,其他资产之前未被访问过,则不会显示此图标。通过Mstsc( Microsoft terminal services client)客户端建立到Windows服务器的图形会话有两种方式:RDP直连和RDP透传。
| 参数 | 说明 |
|---|---|
| 帐号 | 用于标识登录对应资产时所使用的帐号。有以下几种类型:
Note:
|
| console |
仅当该资产的RDP访问协议设置中勾选了console时显示该参数。 仅当待访问的主机系统是Windows Server时需要启用Console连接。启用Console连接表示使用/console参数登录Windows Server 2003,从而打开一个session id为0的控制台会话,或使用/admin参数登录Windows Server 2008/2012/2016,打开一个session id为0的管理员模式的会话。
|
| 参数 | 说明 |
|---|---|
| 计算机名 | 运维审计系统的IP地址 |
| 用户名 |
运维审计系统的用户名/目标资产的IP地址/访问目标资产的帐号 |
操作员可以使用Telnet/SSH客户端,如Xshell、Putty、SecureCRT,通过SSH登录到运维审计系统,然后选择待访问的资产,并通过Telnet/SSH进行访问。
ssh opt/10.10.33.30/root@10.10.33.1通过该方式连接后,操作员可以直接经过运维审计系统登录到待访问资产。运维审计系统会根据该资产配置的访问协议(Telnet/SSH)自动进行连接,如该资产同时配置了Telnet/SSH,则默认使用SSH进行连接。
| 使用场景 | 输入 | 说明 |
|---|---|---|
| 最外层资产分组列表菜单 | q | 退出登录运维审计系统 |
| l | 切换语言(从中文到英文,或从英文到中文) | |
| r | 重新加载数据 | |
| /设备IP、名称或说明 | 过滤设备 | |
| 目标资产列表菜单 | i | 按IP排序 |
| a | 按设备名称排序 | |
| /设备IP、名称或说明 | 过滤设备 | |
| 任意子菜单 | 直接按回车键 | 返回上一级菜单 |
| 断开到设备的会话后 | 直接按回车键 | 回到资产分组列表菜单 |
| r | 重新连接到已断开的会话 | |
| q | 退出登录运维审计系统 |
帐号名称之前有*,表示该帐号的密码已在运维审计系统上托管,运维审计系统连接该资产时将直接代填密码并登录。
当选择的帐号为self时,如用户使用AD/LDAP/RADIUS其中之一认证或双因子认证中包含AD/LDAP/RADIUS之一,则使用对应的AD/LDAP/RADIUS用户名同名的帐号登录资产;如用户使用AD/LDAP+RADIUS双因子认证,则使用第一重认证所使用的AD/LDAP/RADIUS用户名同名帐号。
该会话如匹配对应的高危操作规则,将受到高危操作规则的影响,需要进行复核,请参考执行高危操作。
用户可以通过运维审计系统将已打开的会话,共享给另一个用户,实现两人同时对同一个会话进行操作。
会话共享支持同一个用户同时共享多个字符或图形会话,并且每个会话都可以共享给多个不同的用户。会话共享后,所有加入共享的用户都将看到同一个会话界面,并且同步所有键鼠操作。
会话共享不要求加入共享的用户拥有该资产的访问权限,只需要开启共享的用户拥有访问权限。
用户加入共享后,开启共享的用户不能取消对该用户的共享。但如果开启共享的用户关掉被共享的会话窗口,所有加入共享的用户的会话窗口都将被自动关闭。
运维审计系统没有对同一个会话共享加入的人数设置限制,只有字符会话会受到系统设置中字符终端的并发登录数量的限制。但不建议一个会话同时共享给太多人,因为不同人的操作会互相影响。
会话共享有以下使用限制:
受邀人收到共享邀请后可以选择加入会话共享。
,可以看到收到的会话共享邀请。单击查看详情,将跳转到会话共享界面。也可以直接选择进入该界面。
传输文件是指用户将本地PC通过运维审计系统访问目标设备,并且将本地PC作为客户端,将资产设备作为服务端,从资产设备上上传/下载文件的操作。
基于运维审计系统的文件传输方式有很多种。下表列出了运维审计系统支持的所有文件传输方式及相互之间的比较,请用户根据自己的实际情况及喜好,灵活选用文件传输方式。
| 传输方式 | 目标资产系统类型 | 依赖软件 | 推荐程度 |
|---|---|---|---|
| 通过Web界面文件传输界面传输文件(网盘模式) | Linux、HP Unix、IBM AIX | 无 | 目标资产非Windows时首选 |
| 通过Web界面建立SFTP会话传输文件 | Linux、HP Unix、IBM AIX | 本地PC:
|
目标资产非Windows时推荐 |
| 通过SFTP工具直连目标资产传输文件 | Linux、HP Unix、IBM AIX |
本地PC:SFTP工具(FileZilla、WinSCP、Xftp等) |
不推荐 |
| 在字符终端中通过SFTP传输文件 | Linux、HP Unix、IBM AIX | 本地PC为Windows时需要安装字符终端工具,如Xshell | 本地PC为Linux/Unix时推荐 |
| 在字符会话中通过ZMODEM传输文件 | Linux、HP Unix、IBM AIX |
|
小文件时推荐。不能传输超过2GB的文件 |
| 在RDP图形会话中通过剪贴板传输文件 | Windows | 本地PC:Mstsc客户端 | 目标资产为Windows时推荐 |
| 在RDP图形会话中通过磁盘映射传输文件 | Windows | 本地PC:Mstsc客户端 | 目标资产为Windows时推荐 |
本地PC与Linux/Unix主机之间的文件传输建议首选该方式;本地PC与运维审计系统、运维审计系统与Linux/Unix主机之间的文件传输,只能采取该方式。通过Web界面提供的文件传输功能,用户可以直观地将文件在本地PC、运维审计系统、目标资产设备之间上传/下载。
在界面,可以对已上传或下载到运维审计系统的文件进行管理。
| 操作 | 说明 |
|---|---|
| 查询 | 在 对话框中,输入文件或文件夹的名称并按回车键进行查询。如未勾选查询子文件/文件夹,只会搜索当前文件夹内的内容。但勾选了查询子文件/文件夹后,不能执行批量操作。 |
| 新建文件夹 | 在文件列表中进入指定的目录,然后单击新建文件夹,填入文件夹的名称,在当前路径新建文件夹。 |
| 上传 | 在文件列表中进入指定的目录,然后单击上传,并在弹出的对话框中选中本地PC上待上传的文件,将文件上传到当前进入的目录。 Note: 该操作要求当前用户拥有足够的配额空间。界面上方会标出已用空间:已用大小/配额大小,如未设置配额上限,则不会显示配额大小。如配额不够用,请先删除多余的文件,以使配额满足要求。
|
| 下载 | 在文件列表中找到待下载的文件或文件夹,单击下载将文件下载到本地PC。如需批量下载,请勾选所有待下载的文件,并单击下方的批量下载,下载文件夹或批量下载文件,运维审计系统将使用zip压缩包打包。 |
| 删除 | 在文件列表中找到待删除的文件或文件夹,单击...,在下拉菜单中选择删除,并单击确认。如需批量删除,请勾选所有待删除文件,并单击下方的批量删除。 |
| 重命名 | 在文件列表中找到待重命名的文件或文件夹,单击...并在下拉菜单中选择重命名,在对话框中输入新的文件名并单击确定。新的文件名必须是一个长度为1~100的字符串,不能以“.”开头且不能包含“\”或“/”。 |
| 移动至 | 在文件列表中找到待移动的文件,单击...并在下拉菜单中选择移动至,在弹出的对话框中选择目的路径。如需批量移动,请勾选所有待移动的文件,并单击下方的移动至。文件夹不能进行移动。 |
| 分享文件 | 在文件列表中找到待分享的文件,单击...并在下拉菜单中选择分享文件,在弹出的对话框中输入有效时长(天),取值范围为1~30天。单击确定后,会弹出分享链接及密码。已分享的文件可以单击...并在下拉菜单中选择查看分享链接或取消分享。 |
| 获取分享的文件 | 获取分享文件的用户必须具有文件传输权限。用户接收到分享链接和密码之后,请按以下操作获取文件:
|
用户可以登录运维审计系统客户端,建立本地PC和目标资产之间的SFTP会话,从而完成与目标资产间的文件传输。
通过运维审计系统 Web界面建立SFTP会话,只能使用Filezilla或WinSCP工具,在中设置。本文以WinSCP为例进行介绍。
用户可以直接通过SFTP工具,建立从本地PC到运维审计系统再到目标资产之间的SFTP会话,从而完成与目标资产间的文件传输。
可以使用各种支持SFTP协议的工具,如Filezilla、WinSCP、Xftp等,建立到目标资产的会话。本文以WinSCP为例进行介绍。
通过SFTP工具无法在连接到运维审计系统之后再查看可以连接的资产并连接资产。因此必须提前准备好目标资产的IP地址,并确保连接目标资产的帐号已在运维审计系统上托管密码。
用户可以在字符终端中,直接通过SFTP命令,建立从本地PC到运维审计系统 再到目标资产之间的SFTP会话,从而完成与目标资产间的文件传输。用户也可以在字符终端中直接打开文件传输工具,例如在Xshell中单击文件传输图标,启动Xftp进行文件传输,操作方法请参见通过SFTP工具直连目标资产传输文件。
sftp 运维审计系统的用户名/目标资产的IP地址/访问目标资产的帐号@运维审计系统的IP地址sftp opt/10.10.33.30/root@10.10.33.1。get 待下载文件的源路径(远端) 待下载文件的目标路径(本地)
put 待上传文件的源路径(本地) 待上传文件的目标路径(远端)用户可以在字符终端中连接到运维审计系统,并通过运维审计系统再连接到目标资产,然后使用rz和sz命令上传/下载文件。
yum install lrzsz命令直接下载并安装。建立本地PC和目标资产直接的字符会话,可以通过Web界面来建立,也可以直接通过字符终端连接到运维审计系统再跳转到目标资产。
cd 待上传文件的目录 rzcd 待下载文件所在的目录 sz 待下载文件的文件名本地PC与Windows主机之间的文件传输,建议首选此方式。通过RDP登录到目标主机后使用剪贴板完成文件传输。
通过运维审计系统 Web界面建立RDP图形会话,和直接通过mstsc远程登录到运维审计系统并跳转到目标主机,都可以使用剪贴板实现文件传输。
本地PC与Windows主机之间的文件传输,可以使用此方式。通过RDP登录到目标主机后,将本地PC的硬盘映射到目标主机,完成文件传输。
当管理员配置了高危操作时,特定操作用户如访问特定的资产时,会要求会话复核;如在特定资产的字符会话上执行某些特定的命令时,会触发高危命令,执行的命令被发送通知、被要求复核、被直接拒绝,或被直接断开会话。
根据管理员在配置高危操作中的配置,操作员在进行资产访问和执行命令时都有可能触发已配置的高危操作规则,已配置的具体规则请向管理员咨询。
| 现象 | 说明 | 处理方法 |
|---|---|---|
| 通过Web界面建立会话,单击启动后出现启动资产窗口,包含复核人下拉菜单。 | 操作员触发了会话复核规则,需要完成会话复核后才能进行操作。 |
|
| 通过SSH客户端建立会话,选择资产和帐号名称后,提示请选择会话复核用户。 | ||
| 执行命令,提示This command requires manager's confirmation, are you sure?[Y/n]。 | 操作员触发了命令复核规则,需要完成命令复核后命令才能被执行。 |
|
| 执行命令,提示You are not allowed to use this command。 | 操作员触发了拒绝用户执行的高危命令 | 请使用其他允许被执行的命令。 |
| 执行命令,提示Session will be killed because of this command。 | 操作员因执行高危命令,触发了断开会话的操作 | 请重新打开会话,并使用其他允许被执行的命令。 |
提醒图标,查看收到的待复核会话的提醒,并单击查看详情,跳转到复核申请列表页面。也可以直接选择。复核人不是使用动态令牌的用户时,操作员将收不到该复核提醒,无法自己进行复核。该方法仅适用于会话复核,不支持命令复核。
高危操作规则如配置有误,访问资产或执行命令将无法进行,具体现象和处理方法如下:
| 现象 | 说明 | 处理方法 |
|---|---|---|
| 在Web界面单击启动会话时,提示操作失败。 | 可能原因:会话复核规则中设置的所有复核人均不可用。 | 联系管理员检查会话复核规则是否存在问题。 |
| 在SSH客户端上启动会话时,提示Not authorized to login to server 'XX' with account 'YY'。 | ||
| 执行命令,提示No valid user for confirmation. Please contact the administrator。 | 命令复核规则没有设置复核人或设置的所有复核人均不可用。 | 联系管理员为命令复核规则设置可用的复核人。 |
|
|
The client has disconnected from the server. Reason: Message Authentication Code did not verify (packet #4). Data integrity has been compromised.此时请在该会话的Properties设置中,选择,去勾选SHA2-512选项,并单击OK保存。
|
|
能够使用审计功能的用户类型包括:审计管理员、超级管理员及其他自定义的拥有审计授权的用户类型。本章节指导用户完成运维审计系统所有基本的审计操作。审计操作均需要在运维审计系统的Web界面上执行。
审计是指在Web界面上,对运维审计系统用户和系统的所有操作行为进行查看,以解决操作事故责任认定的问题,确保事故发生后,能快速定位操作者和事故原因,还原事故现场和举证。
|
本章节后续内容将默认用户拥有查看键盘记录和下载会话权限来进行介绍,如找不到对应的功能,请对照上表检查是否具备相应权限。
审计操作分为两种,操作审计和事件审计。运维审计系统也提供了审计数据概览、会话情况统计及问题检索等功能,方便审计管理员快速了解运维审计系统的安全状况并对具体审计记录进行快速检索。
所有审计操作都必须在运维审计系统 Web界面上进行,因此请先登录运维审计系统 Web界面。本章节所有内容均默认用户已使用拥有审计权限的帐户登录了Web界面。本章节面向的读者对象主要是审计管理员,因此下文中提到的用户均称为审计管理员。
在运维审计系统审计操作主界面,可以通过切换页签,查看审计数据概览与会话情况统计等相关信息,从而对系统的整体运行情况进行直观的了解。
审计管理员可以查看审计数据概览,对当前的在线会话、用户、资产等信息进行查看,并通过单击相应内容,进行更细致的查看。
| 项目 | 说明 | 单击跳转后的内容 |
|---|---|---|
| 在线会话 | 显示当前所有在线的字符、图形、数据库会话的总数。 | 跳转到在线会话菜单,请参考审计在线会话进行相关操作。 |
| 在线字符会话 | 显示当前所有在线的字符会话的总数。 | 跳转到字符会话菜单,并在筛选条件中设置了状态为活跃。请参考审计字符会话进行相关操作。 |
| 在线图形会话 | 显示当前所有在线的图形会话的总数。 | 跳转到图形会话菜单,并在筛选条件中设置了状态为活跃。请参考审计图形会话进行相关操作。 |
| 在线数据库会话 | 显示当前所有在线的数据库会话的总数。 | 跳转到数据库会话菜单,并在筛选条件中设置了状态为活跃。请参考审计数据库会话进行相关操作。 |
| 在线用户 | 显示当前Web界面的所有在线用户的总数。 | 跳转到单独的Web在线用户查看页面。可以查看当前Web在线用户的帐号、姓名、来源IP、角色、活动会话数,并对指定用户执行强制下线。 Note:
|
| 在线资产 | 显示当前所有通过运维审计系统建立了在线会话的资产的总数。 |
跳转到单独的在线资产查看页面。可以查看当前已建立会话的资产的资产名称、资产IP、资产类型、简要说明和活动会话数。 可以在搜索框中输入资产名称、资产IP、简要说明进行模糊查询,筛选要查看的在线的资产范围。 |
审计管理员可以查看运维审计系统的会话情况统计,包括本周TOP用户会话数、本周TOP资产会话数、在线会话和会话文件大小。
请进入审计界面主菜单(单击;如已在审计菜单中,单击左上角的审计图标,返回主菜单),并选择会话统计情况进行查看。
会话情况统计的各块内容介绍如下:
显示一周之内(从当前时间点往前的7*24小时内)访问会话数最多的5个用户。每个用户的会话总数以柱状图的形式呈现,柱状图中的每一块内容分别代表字符、图形、数据库会话的数量,具体含义参见图表下方的图例所示。
显示一周之内(从当前时间点往前的7*24小时内)被访问次数最多的5个资产。每个资产建立的会话总数以柱状图的形式呈现,柱状图中的每一块内容分别代表字符、图形、数据库会话的数量,具体含义参见图表下方的图例所示。
显示在线会话的总数以及字符、图形、数据库会话各自的总数。和审计数据概览中显示的相同,但此处仅作为显示,不能单击数字跳转到对应的页面。
显示当前运维审计系统后台存储的会话记录文件占用的磁盘空间大小。分为字符会话和图形会话两部分。单位为GB和MB,例如会话文件大小显示为5GB 20MB,表示实际大小为5GB+20MB。
审计管理员可以按不同的检索方式对会话审计记录进行检索,从而快速找到期望的审计记录并进行问题定位。
在审计记录中检索问题,有以下4种方式:直接检索、按资产检索、按用户检索、按会话操作检索。
可以先单击筛选设置筛选查找条件,或在搜索框中输入资产名称/IP/简要说明,查找到对应的资产并进行勾选,然后单击确定。如不勾选则默认检索当前审计管理员在运维审计系统上可审计的所有资产。
也可以单击下方的Top活跃资产列表中的某个资产,直接检索该资产相关的审计记录。
可以先单击筛选设置筛选查找条件,或在搜索框中输入帐号/姓名,查找到对应的用户并进行勾选,然后单击确定。如不勾选则默认检索运维审计系统上的所有用户。
也可以单击下方的Top活跃用户列表中的某个用户,直接检索该用户相关的审计记录。
| 选项 | 说明 |
|---|---|
| 字符会话 | 输入字符终端上执行的命令,例如ls、cd。 |
| 图形会话 | 输入以下内容其中的一条或多条:
|
| 数据库会话 | 输入SQL语句,例如select。 |
| 文件传输 | 输入文件路径,例如/root。 |
| tn5250会话 | 输入Menu/Text/功能键/提交数据,例如User tasks。 |
保存一个检索模板,这样会在窗口的最上方直接显示各个模板。可以直接单击某个模板名称选择套用该模板,单击
删除该模板,或者单击
清空输入内容。| 显示项 | 说明 |
|---|---|
| 会话时间 | 会话开始的时间,例如2018-08-06 19:24:19。 |
| 发起用户 | 通过运维审计系统建立该会话的运维审计系统用户的用户名及连接到资产的主机的IP地址,例如admin(10.10.10.10)。 |
| 连接资产 | 会话连接的资产名称及IP地址,例如CentOS7(192.168.1.10)。 |
| 操作信息 | 使用按会话操作检索时不会显示。另外,根据不同的会话类型,显示的内容会不一样:
|
| 匹配结果 | 仅当按会话操作检索时会显示,显示匹配上的操作的数量,例如已匹配5条。并且在该条记录的下方会显示详细的匹配情况,匹配上的内容会用颜色标出。 |
| 更多 | 用户可以执行的更多操作,包含详情、回放、下载,在线会话还会显示实时和切断。具体含义请参考查看审计结果(操作类)中的介绍。 TN5250会话只会显示详情、回放和切断三个操作。 |
| 页签 | 说明 |
|---|---|
| 会话 | 按用户设置的筛选条件检索出来的所有结果。 |
| 敏感会话 | 检索结果中包含敏感命令的会话。敏感命令是在高危操作中定义的高危命令,当部署的运维审计系统未启用高危操作功能时请忽略此页签。 |
| 大日志会话 | 检索结果中会话审计记录文件超过100MB的会话。 |
| 特权会话 | 检索结果中使用特权帐号登录资产的帐号。 |
| 所有会话 | 仅当使用直接检索或按用户检索时会显示该页签。除了会话页签显示的会话之外,还会将符合筛选条件的用户的所有的登录、登出和修改设置的操作都作为会话列出来。但仅能对该页签中的各访问资产的会话条目执行更多操作。 |
,设置会话类型、状态、协议、系统帐号等筛选条件,从而组合更多的筛选条件。
,变为白色的操作将不再被当做筛选条件进行检索。
,或在按会话操作检索的结果中勾选待导出的会话后单击导出,将检索结果以.xls表格的形式下载到本地。
审计管理员可以查看所有在线或已完成的用户会话,查看会话的回放、按键、标题等信息,并对在线会话执行实时查看和切断等操作。
审计管理员可以查看当前所有的正在进行的会话,对会话内容进行实时监视,并随时切断会话。
| 项目 | 说明 |
|---|---|
| 开始时间 | 会话开始的时间,例如2018-08-06 19:24:19。 |
| 来自 | 直接连接到资产的主机的IP地址。 |
| 用户帐号 | 用户登录运维审计系统的帐号。 |
| 资产名 | 会话连接的资产在运维审计系统上记录的名称。 |
| 系统帐号 | 会话连接使用的该资产上的帐号名称。 |
| 会话类型 | 图形会话或字符会话。 |
| 协议 | 会话使用的协议名称,例如ssh、rdp。应用系统会话该信息为空。 |
| 会话时长 | 会话从开始到当前时间的总计时长。单击后才会刷新该时长。 |
| 用户姓名 | 登录运维审计系统的用户的姓名,在帐号设置中设置。 |
| 资产IP | 会话连接的资产的IP地址。 |
| 操作 |
|
审计管理员可以查看所有在线或已关闭的字符会话,并执行查看会话详情和回放等功能。字符会话包括所有主机、网络设备中使用ssh、telnet、tn5250协议建立的会话。
| 项目 | 说明 |
|---|---|
| 开始时间 | 会话开始的时间,例如2018-08-06 19:24:19。 |
| 结束时间 | 会话结束的时间,例如2018-08-06 19:33:15。 |
| 来自 | 直接连接到资产的主机的IP地址。 |
| 用户帐号 | 用户登录运维审计系统的帐号。 |
| 用户姓名 | 用户登录运维审计系统的帐号对应的姓名,在帐号设置中设置。 |
| 资产名 | 会话连接的资产在运维审计系统上记录的名称。 |
| 系统帐号 | 会话连接使用的该资产上的帐号名称。 |
| 协议 | 会话使用的协议名称:ssh、telnet、tn5250。 |
| 命令数 |
用户执行的命令的数量,括号前的数字表示命令总数,括号内的数字表示敏感命令的数量。敏感命令是在高危操作中定义的高危命令,当部署的运维审计系统未启用高危操作功能时该数字始终为0。 |
| 会话时长 | 会话从开始到当前时间的总计时长。单击后才会刷新该时长。 |
| 状态 | 会话的连接状态:活跃、断开,或强制断开。强制断开表示审计管理员使用切断功能强制切断了该会话。 |
| 资产IP | 会话连接的资产的IP地址。 |
| 文件(MB) | 会话记录文件的大小,当大小小于0.01MB时只显示为“<0.01 MB”。 |
| 操作 |
|
审计管理员可以查看所有在线或已关闭的图形会话,并执行查看会话详情和回放等功能。图形会话包括所有主机、网络设备中使用rdp、xdmcp、xfwd、vnc协议建立的会话、数据库会话及应用系统会话。
| 项目 | 说明 |
|---|---|
| 开始时间 | 会话开始的时间,例如2018-08-06 19:24:19。 |
| 结束时间 | 会话结束的时间,例如2018-08-06 19:33:15。 |
| 来自 | 直接连接到资产的主机的IP地址。 |
| 用户帐号 | 用户登录运维审计系统的帐号。 |
| 用户姓名 | 用户登录运维审计系统的帐号对应的姓名,在帐号设置中设置。 |
| 资产名 | 会话连接的资产在运维审计系统上记录的名称。 |
| 系统帐号 | 会话连接使用的该资产上的帐号名称。 |
| 协议 | 会话使用的协议名称:rdp、xdmcp、xfwd、vnc。应用系统会话该信息为空。 |
| 文件(MB) | 会话生成的记录文件的大小。 |
| 会话时长 | 会话从开始到当前时间的总计时长。单击后才会刷新该时长。 |
| 状态 | 会话的连接状态:活跃、断开,或强制断开。强制断开表示审计管理员使用切断功能强制切断了该会话。 |
| 操作 |
|
| 资产IP | 会话连接的资产的IP地址。数据库、应用系统会话该项信息为空。 |
| 客户端类型 | 建立会话所使用的客户端类型,包括mstsc和novnc。 |
| 屏幕高 | 会话实际占用的屏幕高度。最大化时不包含任务栏的高度。 |
| 屏幕宽 | 会话实际占用的屏幕宽度。 |
| 应用地址 | 数据库、应用系统的IP地址。其他会话该项信息为空。 |
| 应用类型 | 数据库、应用系统的类型,包括DATABASE、B/S、C/S、B/S IE和Weblogic。其他会话该项信息为空。 |
| 应用客户端 | 连接数据库、应用系统所使用的应用客户端,例如Toad、chrome等。其他会话该项信息为空。 |
,从该条命令开始回放直到会话结束;单击<CtrlAlt-Delete>、cd D:\boot。可以在某一条记录后单击回放,从该操作处开始回放直到结束。| 参数 | 说明 |
|---|---|
| 时间 | 完成复制或粘贴操作的时间。 |
| 记录 | 复制到剪贴板中的文本,如文本过长,将对部分文本进行省略,最后显示为省略号。 |
| 方向 |
|
| 操作 |
|
审计管理员可以查看所有在线或已关闭的数据库会话,结合同时记录的图形会话,完成对用户的数据库操作的审计。
数据库会话中会记录用户通过客户端登录数据库及在数据库上执行的所有语句。用户在数据库客户端上执行的所有键鼠操作,同时也都会记录在图形会话中。因为不同数据库、不同数据库客户端的自身行为有所不同,同一次访问可能在数据库会话中被记录成多个会话,其中包含客户端自己的一些处理语句,因此建议审计管理员将数据库会话和图形会话结合起来,从而识别用户具体的数据库会话操作。
用户必须通过运维审计系统代填主机名及服务名并连接到数据库,才会在运维审计系统中留下审计记录。如果自己填写主机名和服务名并进行连接,相当于不通过运维审计系统建立数据库会话,审计管理员将无法看到对应的数据库会话审计记录,但可以看到图形会话审计记录。
| 项目 | 说明 |
|---|---|
| 开始时间 | 会话开始的时间,例如2018-08-06 19:24:19。 |
| 结束时间 | 会话结束的时间,例如2018-08-06 19:33:15。 |
| 来自 | 直接连接到数据库的IP地址。 |
| 用户帐号 | 用户登录运维审计系统的帐号。 |
| 用户姓名 | 用户登录运维审计系统的帐号对应的姓名,在帐号设置中设置。 |
| 资产名 | 会话连接的数据库在运维审计系统上记录的名称。 |
| 系统帐号 | 会话连接使用的该数据库上的帐号名称。 |
| 会话时长 | 会话从开始到当前时间的总计时长。单击后才会刷新该时长。 |
| 资产IP | 会话连接的资产的IP地址。 |
| 状态 | 会话的连接状态:活跃、断开。 |
| 数据库类型 | 会话访问的数据库类型,例如Oracle、MSSQL。 |
| 数据库名 | 会话访问的数据库名称,例如devdb、sql2000。 |
| 数据库客户端 | 连接数据库所使用的数据库客户端,例如Toad、Ssms。 |
| 操作 |
|
| 项目 | 说明 |
|---|---|
| 执行时间 | 执行该SQL语句的具体时间。 |
| 语句 | 被执行的SQL语句的具体内容。客户端自身执行的SQL语句也会被记录。 |
| 操作 |
|
审计管理员可以查看所有已完成的文件传输会话,并执行查看详情的功能。运维审计系统可以审计到的文件传输会话包含传输文件中所用到的所有文件传输方式。
| 项目 | 说明 |
|---|---|
| 开始时间 | 文件传输操作开始的时间,例如2018-08-06 19:24:19,不是会话建立的时间。 |
| 结束时间 | 文件传输结束的时间,例如2018-08-06 19:24:21。 |
| 来自 | 和资产设备之间传输文件的主机的IP地址。 |
| 用户帐号 | 用户登录运维审计系统的帐号。 |
| 用户姓名 | 用户登录运维审计系统的帐号对应的姓名,在帐号设置中设置。 |
| 资产名 | 会话连接的资产在运维审计系统上记录的名称。 |
| 系统帐号 | 会话连接使用的该资产上的帐号名称。 |
| 操作类型 | 用户在文件传输会话中执行的具体操作,例如上传文件、下载文件、删除文件、新建文件夹等。 |
| 文件路径 | 无论上传或下载,只显示该文件在资产设备上的路径。远端资产设备为Windows设备时仅显示文件名。 |
| 文件大小 | 传输的文件的总大小和单位。 |
| 状态 | 文件传输的结果,例如:成功、失败、无权访问、失去连接。 |
| 会话时长 | 完成该次文件传输所花费的时间,最小单位为1秒。 |
| 文件权限 | 仅当远端资产设备为Linux/Unix主机时会显示,三位数字的Linux/Unix格式的权限,表示该文件在该远端资产上的权限。 |
| 操作 |
|
审计管理员除了对会话进行审计,也可以审计Web界面中的各种事件,包括登录日志、配置日志和审计记录。
审计管理员可以查看所有用户的登录日志,以确保运维审计系统没有异常登录的情况。
| 项目 | 说明 |
|---|---|
| 时间 | 该帐号登入或登出的时间。 |
| 来自 | 该帐号登录请求的来源IP。如登录操作经过了跳转,显示的IP为直接连接运维审计系统的IP。 |
| 用户帐号 | 该登录帐号的名称。 |
| 用户姓名 | 该登录帐号的姓名,在帐号设置中设置。登录失败时不显示。 |
| 验证方式 | 该帐号登录时采用的身份验证方法,取值为系统允许的各种登录认证方式。使用双因子认证时将显示为使用的双因子认证方式模板的名称。使用密钥登录SSH交互终端时,会显示为pubkey。 |
| 登录方式 | 该帐号登录运维审计系统的方式,取值范围如下:
|
| 登录描述 | 该帐号登录情况,取值为“登录成功”、“登录失败”、“登出成功”之一。 |
| 登录结果 | 该帐号登录或登出的结果,取值为“成功”或“失败”之一。 |
审计管理员可以查看所有用户的配置日志。配置日志中记录了系统或用户在运维审计系统上执行的所有配置操作。
| 项目 | 说明 |
|---|---|
| 时间 | 用户执行该配置操作的时间。 |
| 来自 | 用户登录请求的来源IP。如登录操作经过了跳转,显示的IP为直接连接运维审计系统的IP。如果是运维审计系统系统本身,显示为localhost地址。 |
| 用户帐号 | 登录运维审计系统的帐号的名称,如果是运维审计系统系统本身,显示为系统。 |
| 用户姓名 | 登录帐号的姓名,如果是运维审计系统系统本身,显示为系统。 |
| 操作类型 | 用户执行的配置操作的类型,例如重启、删除用户等。 |
| 影响内容 | 用户执行的配置操作具体影响的范围。
|
| 结果 | 配置操作的结果。成功或失败。 |
| 操作 | 单击详情,在弹出的窗口中查看事件详情。基本属性为本表格中列举的以上属性,高级属性会显示用户修改配置的操作所保存的所有属性。 |
审计管理员也可以对自身以及其他审计管理员在Web界面上所进行的所有审计操作进行审计,了解所有审计管理员都审计了哪些内容。
| 项目 | 说明 |
|---|---|
| 时间 | 用户执行该审计操作的时间。 |
| 来自 | 用户登录请求的来源IP。如登录操作经过了跳转,显示的IP为直接连接运维审计系统的IP。如果是运维审计系统系统本身,显示为localhost地址。 |
| 用户帐号 | 登录运维审计系统的审计管理员帐号的名称。 |
| 用户姓名 | 登录帐号的姓名。 |
| 操作路径 | 审计管理员执行的审计操作的名称,如实现该操作需要连续操作,显示为一系列连续操作对应的窗体及控件名称,中间用/隔开,例如文件传输/详情/基本信息。 |
| 操作类型 | 审计管理员执行的审计操作的类型,如详情、切断等。 |
| 会话类型 | 审计管理员审计的会话的对应的会话类型,例如字符会话、图形会话、文件传输。 |
| 资产IP | 用于标识审计管理员审计的会话连接到哪个资产,显示该资产的IP地址,例如10.10.10.10。 |
| 目标资产 | 用于标识审计管理员审计的会话连接到哪个资产,显示该资产在运维审计系统上记录的名称,如CentOS7。 |
| 会话序列号 | 审计管理员审计的会话的对应的会话ID。可以单击该序列号跳转到对应的会话审计记录中,查看该会话记录的具体信息。 |
在审计界面中单击回放或实时,可以播放会话录屏。请参考本节内容,在会话录屏的播放过程中对播放进行控制。
如需修改播放方式,请在中,修改回放方式为web或java。
使用JAVA窗口播放,要求本地PC必须预先安装JAVA JRE,建议版本为1.6及以上。
| 图标 | 快捷键 | 说明 |
|---|---|---|
 |
Space或P | 单击该按钮或按空格键播放/暂停回放,按P键播放回放。 |
 |
S | 停止回放。 |
 |
C | 在当前回放时间点截图。请在弹出的窗口中指定截图保存路径和截图名称。生成的截图下方,将附带截图时间点、访问资产的用户名称和地址、资产帐号、协议、被访问的资产名称和地址等会话信息。 |
 |
I | 显示当前回放的会话信息,包括资产帐号、访问资产的用户名称和地址、被访问资产的名称和地址、会话开始时间和协议等会话信息。 |
 |
F | 开启/取消全屏播放。 |
 |
无 | 选择回放画面的缩放比例,单击后有以下选项:
|
 |
上/下或+/- | 选择播放回放的速度倍率。单击后有以下选项:x0.25、x0.5、x01、x02、x04、x08、x16、x32、x64。按键盘的方向键上/下或+/-,可以使播放速度加快一倍/减慢一倍。 |
| 时间点,例如15:42:40 2018-10-08 | T | 选择播放时间点。单击右下角的播放时间点,在打开的窗口中,输入待跳转到的时间点,单击OK后从该时间点开始播放。 输入的时间点必须符合“年-月-日 时:分:秒”的格式,且必须在该回放的起始到结束时间范围内。 |
| 无 | 左/右 | 按键盘的方向键左/右,跳转到当前播放时间点的5秒前或5秒后继续播放。 |
| 无 | K | 打开/关闭按键回显(按字幕方式),显示在播放画面和下方的按钮面板之间。用户按下的其他键盘按键,将按时间顺序显示在该栏位右侧,从右向左进行滚动。 另外,该栏位的左侧,会从左到右依次显示6个按键指示符,当回放中用户按下指定的按键时,相应的指示符会短暂显示为红色。指示符从左到右依次为:
|
| 无 | E | 打开/关闭按键回显(按字幕方式)。该窗口在打开后,会从上到下依次记录回放过程中被审计用户的所有按键动作。每一条记录从左到右依次显示按键时间点、输入设备(key或mouse)、按键动作(up或down)以及具体的按键名称。 |
| 操作 | 说明 |
|---|---|
| 控制播放 |
|
| 查看操作列表 | 仅Windows会话支持该功能。播放窗口左侧显示了用户在终端上执行的所有操作的列表。列表中每一个操作,从上到下依次显示操作时间、操作动作和文本记录(窗体名称或键入、复制的文本)。 可以单击操作列表中的某个操作,跳转到该操作对应的时间点进行播放。 |
| 文本信息模糊查找 | 在左上角输入框中输入文本信息进行筛选查找。输入的内容必须是操作列表中某个操作的文本记录的一部分或全部。 |
| 查看字幕 | 仅Windows会话支持该功能。当有键盘输入时,播放窗口下方会以字幕的方式,从右向左滚动显示所有按键信息。 |
| 调整播放速度 | 单击 或 ,加快或减慢播放速度。播放速度默认为1倍速,调整时可以在0.25倍速~64倍速之间选择。 |
| 全屏/取消全屏 | 单击右下角的 进入全屏播放或取消全屏播放。全屏播放时将无法使用操作列表功能。 |
| 保存截图 | 在播放过程中,右键单击播放画面可以选择将当前帧以png格式保存到本地。 |
用户通过运维审计系统使用不同的客户端访问数据库时,支持情况有所不同。
| 客户端 | 数据库版本 | 数据库审计 |
|---|---|---|
|
|
支持 |
| Oracle 12c | 不支持 | |
| OEM |
|
不支持 |
| SSMS 2014 |
|
支持 |
| Navicat |
|
支持 |
| SQLyog | ||
| Quest Central | DB2 v9.7 | 不支持 |
| SqlDbx for DB2 | ||
| Toad for DB2 |
报表是利用表格、图表等形式动态地统计并展示运维审计系统中各项信息,如系统中的资产和用户总量的变化情况,从而满足用户对运维审计系统数据进行审查和汇报的需要。能够使用报表的角色包括各种管理员:超级管理员、配置管理员、审计管理员及其他自定义的拥有报表授权的用户。
运维审计系统支持的报表类型包括:用户统计报表、资产统计报表、会话统计报表和帐号类报表。运维审计系统预定义了一些对应以上各种类型的报表模板,其他报表模板需要用户自定义导入,并对应以上四种类型。
用户可以通过配置报表,引用报表模板,即时或周期性地生成报表。配置报表仅定义报表的生成方式,报表具体的内容在报表模板中定义。必须先配置了报表模板,然后在此引用。
报表有固定的统计周期,自动生成的报表也有固定的生成周期。周期报表是指按固定的生成周期自动生成有固定统计周期的报表,即时报表可以手动设定统计周期并立即生成,也可以在固定的生成周期时间点上自动生成从指定起始时间点开始的统计周期内的报表。
| 参数 | 说明 |
|---|---|
| 报表名称 | 用于标识一个报表,全局唯一。长度为1~30的字符串。 |
| 报表类型 | 该参数需要与自动生成搭配使用。
|
| 自动生成 |
|
| 统计起始时间点 | 仅当报表类型为即时报表,且自动生成为是的情况下需要配置。用于指定即时报表统计的起始日期(时间点为0:00),运维审计系统在该起始时间点之后的每个生成周期时间点上生成报表时,都统计从该起始时间点到报表生成时间点之间的信息。 对于只统计一个时间点而不统计一个时间段的自定义模板,该设置无效。 |
| 周期类别/生成周期 | 对于周期报表,既表示统计周期,也表示生成周期;对于即时报表,仅表示生成周期,而统计周期则由统计起始时间点和该生成周期的时间点决定。 所有统计周期都统计从第一天的0:00:00到最后一天的23:59:59之间的数据。 所有生成周期时间点都是当天的2:00。 |
| 报表模板 | 用于定义报表的具体内容,在中定义,然后在此引用。不同的报表类型对应不同的报表模板,同一报表模板可以有不同的报表类型。 |
| 其他 | 根据引用的报表模板的不同,会有一些其他信息需要配置。例如用户分类统计报表需要设置包含角色,资产信息统计报表需要设置是否禁用和资产类型。请在预设的下拉菜单中选择一个或多个。 |
| 参数 | 说明 |
|---|---|
| 统计周期 | 仅当报表类型为周期报表时需要配置。当周期类别为按日时,勾选需要对每周的哪几天进行统计并生成;其他情况下配置每个统计周期开始的时间点。 |
| 生成周期 | 周期类别/生成周期为按日时不需要配置,固定为每天的2:00;其他情况下配置每个生成报表的日期,时间点为该日的2:00。 |
| 邮件发送 | 选择生成报表后是否通过邮件通知指定收件人。需要保证系统服务中的邮件服务设置正确。 |
| 报表格式 | 仅当邮件发送选择是时需要配置。勾选一种或多种通过邮件发送的报表格式。 |
| 收件人邮箱 | 仅当邮件发送选择是时需要配置。单击选择收件人选择一个或多个登记了邮箱的用户,或者单击添加邮箱直接添加一个邮箱地址,报表在生成后将自动发送到这些邮箱地址。 |
自动生成的报表可以在历史报表中查看并保存。
| 项目 | 参数 |
|---|---|
| 报表名称 | 中定义的报表名称。 |
| 模板名称 | 该报表引用的模板名称。 |
| 生成时间 | 已生成的报表的生成时间,及待生成的报表下一次生成的时间。 |
| 生成状态 | 成功、失败、待生成其中之一。 |
| 操作 | 单击查看,在弹出的窗口中查看生成的报表,并单击 将报表导出为不同的格式。 |
运维审计系统已预置了一些报表模板。用户也可以自行上传自定义的报表,请联系新华三技术支持,定制自定义的报表模板。
| 参数 | 说明 |
|---|---|
| 模板名称 | 用于标识一个模板,全局唯一。长度为1~30的字符串。 |
| 简要说明 | 可选参数,用于对该报表模板的进行解释说明。最大长度为512的字符串。 |
| 分类 | 在下拉菜单中选择一个报表分类。该分类仅用于添加一个分类信息,模板的具体内容由模板本身决定。 |
报表参数中,只能对报表logo进行修改。该logo展示在预设模板的页眉处,自定义模板需引用该字段才会进行显示。
超级管理员、配置管理员、自动化管理员和具有自动化授权的自定义角色可以在运维审计系统上创建自动化运维任务,例如脚本任务。
运维审计系统支持通过Telnet或者SSH协议登录到目标资产上自动执行脚本,并支持配置执行时间和执行间隔。
目标资产包括类Unix系统和网络设备,用户可以上传自定义的Shell脚本文件,也可以选择系统预置的命令文件。
| 目标资产和协议 | 自定义脚本 | 系统预置命令 | |
|---|---|---|---|
| 类Unix系统 | SSH | ✔ | |
| 网络设备 | Telnet | ✔ | |
| 名称 | 操作 |
|---|---|
| h3c_reboot | 在目标资产上执行命令reboot,适用于H3C网络设备。 |
| h3c_save | 在目标资产上执行命令save(不指定文件名,使用资产缺省文件名),适用于H3C网络设备。 |
| 参数 | 说明 |
|---|---|
| 任务名称 | 脚本任务的名称。字符串格式,长度范围是1~30个字符。 |
| 简要描述 | 脚本任务的简要描述。字符串格式,长度范围是0~128个字符。 |
,选中要配置脚本任务的资产,然后在系统帐号中选择运维审计系统登录目标资产使用的帐号,单击确定。
如果资产数量大,可通过以下方式查找满足条件的资产。
| 参数 | 说明 |
|---|---|
| 执行时间 | 脚本任务第一次执行的时间,包括年/月/日/时/分。 |
| 执行间隔 | 脚本任务的执行间隔,可选项包括:
|
脚本任务配置完成后,管理员可以执行以下操作:
管理员能够查看、下载脚本任务的执行结果。
| 错误信息 | 可能原因 |
|---|---|
| 资产帐号 “admin”未配置密码或密钥 | 运维审计系统登录目标资产使用的帐号未托管密码或者密钥。 |
| 没有可用协议: telnet | 运维审计系统上该资产的访问协议未添加Telnet。 |
| 没有可用协议: ssh | 运维审计系统上该资产的访问协议未添加SSH。 |
| Password or key error (account: admin) | SSH用户的密码或者密钥错误。 |
| password is incorrect | Telnet用户的密码错误。 |
| Resource connect timeout (account: root) | IP不通或者其他连接异常。 |
| failed to connect to 1.1.1.1 | 端口不通或者其他连接异常。 |
| timeout when matching:.*Y/N.*|.*y/n.*|.*yes/no.*|.*YES/NO.*. | 系统预置命令与目标资产不匹配。例如目标资产是Juniper的交换机,选择了h3c_reboot预置命令后,由于预置命令无法在目标资产上执行,就会出现该错误提示。 |
在运维审计系统上可以通过工单申请资产权限、资产密码。
运维审计系统支持的工单包括:
不同类型的工单对申请人、使用人和审批人的要求如表10.1 工单申请人、使用人和审批人的要求所示。
| 工单类型 | 申请人 | 使用人 | 审批人 |
|---|---|---|---|
| 资产权限(内部人员) | 用户具有工单权限。 | 用户具有访问资产权限。 | 所有配置管理员。 Note: 只能是系统内置的配置管理员角色,不包含用户自定义的角色。
|
| 资产密码 | 用户具有工单权限。 | 用户具有工单权限。 | 所有配置管理员。 Note: 只能是系统内置的配置管理员角色,不包含用户自定义的角色。
|
申请人提交工单后,审批人会收到通知;审批人审批工单后,申请人、使用人也会收到通知。运维审计系统支持以下通知方式。
消息:用户登录Web界面后,单击右上角的查看通知消息。
邮件:如果已配置用户的工作邮箱,用户会收到通知邮件。
审批人收到工单通知后,可以在待办工单中查看工单信息并审批(批准或者驳回)。
为了便于用户新建工单,运维审计系统的工单支持草稿和模板。
通过工单来申请资产的访问权限。
,设置各参数。
| 参数 | 说明 |
|---|---|
| 工单标题 |
工单的标题。字符串格式,长度范围是1~30个字符。 工单标题会出现在通知消息标题和通知邮件主题中,建议使用精简的语言把任务描述清楚。不同的工单标题可以配置为相同,为了区分不同的工单,建议配置不同的标题。 |
| 操作类型 | 用户要申请的操作类型,取值包括日常维护和定期巡检。 |
| 申请理由 | 工单的申请理由。字符串格式,长度范围是0~512个字符。 |
| 开始时间/结束时间 |
权限生效的开始时间和结束时间。开始时间和结束时间的缺省值为:
开始时间和结束时间使用的是运维审计系统的系统时间,而非本地PC的时间。 |
,选中要添加权限的资产,然后在系统帐号中选择帐号,单击添加。
如果资产数量大,可通过以下方式查找满足条件的资产。
,选中要添加权限的用户,单击添加。
如果用户数量大,可通过以下方式查找满足条件的用户。
申请人提交工单后,审批人会收到通知消息和通知邮件。审批人单击批准后,运维审计系统将用户和所选资产、帐号关联。
执行结束后,运维审计系统发送通知消息和通知邮件给申请人。在工单中配置的开始时间和结束时间范围内,使用人能够使用指定的帐号和协议访问指定的资产。结束时间到了后,访问中的会话会被断开,使用人在能访问的资产列表中也找不到该资产。
通过工单来申请资产帐号的密码。
,设置各参数。
| 参数 | 说明 |
|---|---|
| 工单标题 |
工单的标题。字符串格式,长度范围是1~30个字符。 工单标题会出现在通知消息标题和通知邮件主题中,建议使用精简的语言把任务描述清楚。不同的工单标题可以配置为相同,为了区分不同的工单,建议配置不同的标题。 |
| 开始时间/结束时间 |
使用密码的开始时间和结束时间。开始时间和结束时间的缺省值为:
开始时间和结束时间使用的是运维审计系统的系统时间,而非本地PC的时间。 |
,选中要申请密码的资产,然后在系统帐号中选择帐号,单击添加。
如果资产数量大,可通过以下方式查找满足条件的资产。
申请人提交工单后,审批人会收到通知消息和通知邮件。审批人单击批准后,运维审计系统发送通知消息和通知邮件给申请人。
工单中填写的开始时间到期后,申请人在已办工单中执行以下操作获取密码。
申请人提交工单后,审批人会收到通知消息和通知邮件。审批人单击批准后,运维审计系统发送通知消息和通知邮件给前段、后段密码用户。
两段密码的用户分别在已办工单中执行以下操作获取分段密码,最后将两段密码拼接成完整的密码。
工单结束时间到期后,工单状态变为已完成,解压密码入口消失。如果帐号配置了改密计划,运维审计系统对该帐号改密。
待用户审批的所有工单都会显示在待办工单中,用户可以在查看工单信息后进行审批。
用户申请和审批过的所有工单都会显示在已办工单中,用户可以查看工单的申请时间、工单类型、工单状态、操作结果等信息。
工单详情中会显示工单的状态、工单内容和结果。如果结果是失败,可以单击失败了解原因。
帐号改密可实现对主机、网络等设备的系统帐号的密码修改。
在帐号资产中可以以帐号为中心,对帐号的基本信息进行集中查询和更新。
| 类型 | 说明 |
|---|---|
| 主机帐号 | 指资产类型为主机的帐号,比如Linux、Windows、AIX。 |
| 网络帐号 | 指资产类型为网络的帐号,比如Cisco IOS、Huawei Quidway、H3C Comware。 |
| 域帐号 | 指Windows域帐号,可以先在中添加或管理Windows域;然后在中选择要管理的域,单击从域中同步帐号。 |
| 参数 | 说明 |
|---|---|
| 帐号类型 | 帐号在目标资产上的权限类型,运维审计系统对目标资产进行改密操作时将优先使用特权帐号登录。对于需要通过ssh和telnet访问的设备,特权帐号和普通帐号的登录提示符也不同,该设置会影响运维审计系统自动登录目标设备。
|
| 是否可改密 | 是否允许运维审计系统自动修改该帐号的密码:
|
| 登录密码 | 仅修改运维审计系统上的密码,一般用于当运维审计系统上的该帐号密码设置错误时进行重设。 |
| 确认密码 | 必须和登录密码完全一致。 |
| 切换自 | Linux、Unix和网络设备中的特权帐号可能不允许直接telnet或者ssh远程登录,此时可以选择一个低权限的帐号作为切换来源,运维审计系统在登录目标资产时会先使用切换自帐号登录,然后再通过su等切换命令切换到特权帐号的身份。 |
| 私钥(含SSH服务的资产) | 访问目标资产的SSH密钥。可以在中查看或者添加新的密钥。 |
| 属性 | 说明 |
|---|---|
| 当前密码 | 该帐号当前密码的状态,空密码、正常或异常。
|
| 下次改密时间 | 运维审计系统下一次对该帐号进行自动改密的时间,如果没有设置改密计划该值为空。改密计划在中设置。 |
| 改密计划 | 该帐号涉及的改密计划将被列出。可以单击查看改密计划,跳转到改密计划页面进行查看。 |
| 历史密码 | 该帐号使用的历史密码的数量。可以单击查看历史密码,在弹出的页面的表格中查看以下信息:
|
| 上次备份时间 | 运维审计系统最近一次备份该帐号密码的时间,如果没有备份过记录为空。 |
在帐号资产中可以查看指定帐号在运维审计系统中的全部操作日志。
| 参数 | 说明 |
|---|---|
| 帐号类型 | 帐号在目标资产上的权限类型,运维审计系统对目标资产进行改密操作时优先使用特权帐号登录,对需要通过ssh和telnet访问的设备,特权帐号和普通帐号的登录提示符也不同,该设置会影响运维审计系统自动登录目标设备。
|
| 密码 | 帐号在目标资产上的密码。 |
| 是否可改密 | 是否允许运维审计系统自动修改该帐号的密码:
|
移除异常的数据。通过批量导出可以导出选择的帐号的基本属性到Excel文件中。
通过帐号维护可以对帐号设置改密计划、设置密码备份计划。
改密计划支持按照设定的周期、时间和规则对运维审计系统中帐号资产按照资产类型和帐号类型进行定期自动改密。
运维审计系统执行改密计划的流程如图11.1 改密流程图所示。
运维审计系统支持帐号改密的资产类型和要求如表11.1 支持帐号扫描的资产类型和要求所示。
| 资产类型 | 要求 |
|---|---|
| Windows | Windows系统支持RPC和Agent两种方式,推荐使用Agent方式。 如果目标设备上已安装Agent,且Agent上已配置运维审计系统的IP地址和端口(缺省端口是TCP 3301),则不需要要目标设备在运维审计系统上托管密码。 如果使用RPC方式,目标设备和运维审计系统需要满足如下要求。
|
| Linux / HP UX / IBM AIX和网络设备 |
|
| 参数 | 说明 |
|---|---|
| 计划名称 | 改密计划的名称。 |
| 执行方式 |
|
| 下次执行时间 | 对于手工执行,是下一次通知用户改密的时间;对于自动执行,是下一次自动执行该改密计划的时间。 |
| 执行间隔 | 对于手工执行,是发送改密通知周期的间隔天数;对于自动执行,是改密计划的执行周期间隔天数。 |
| 通知方式 | 可以根据需要勾选一个或多个通知方式。对于手工执行,将会提醒用户执行手工改密;对于自动执行,会在改密开始时和改密完成后各发送一个通知,通知中只会给出改密计划的名称,不会显示具体密码。
|
| 通知人 | 可以根据需要勾选一个或多个通知人。通知人必须超级管理员、配置管理员或其他拥有资产权限的自定义角色。对于邮件通知,必须是配置了邮箱的用户;对于站内通知,用户可以不配置邮箱。 |
,设置规则的属性、匹配和内容。资产可以设置的内置属性包括资产名、IP、简要说明、责任人、资产组和资产类型;帐号可以设置的内置属性包括指定帐号和帐号类型。或,对规则进行修改或删除。执行改密计划后,密码规则中配置的备份方式对应的备份人,将在改密开始和改密完成后分别收到通知,两个通知中分别包含旧密码和新密码。密码的ZIP包需要使用该用户在中设置的ZIP文件密码进行解压。
已添加的改密计划,将在该页面的表格中显示以下相关信息。
| 项目 | 说明 |
|---|---|
| 改密计划 | 改密计划的名称。 |
| 执行方式 | 自动或手动。 |
| 下次执行时间 | 改密计划下一次执行的时间。当改密计划在执行时,显示为正在执行。 |
| 关联帐号 | 改密计划将要修改密码的帐号的数量。 |
| 上次改密结果 | 仅当该改密计划被执行后才会出现。显示最近一次改密的改密成功和改密失败的帐号数量。可以分别单击成功或失败查看具体成功或失败的信息。 |
| 操作 |
|
目标设备的帐号和密码在运维审计系统托管后,为了保证密码的安全性,请定期备份密码。
运维审计系统支持的密码备份方式包括:
| 参数 | 说明 |
|---|---|
| 执行时间 | 密码备份的执行日期和时间。 |
| 执行间隔 | 密码备份的执行间隔。
|
| 密码分段 | 密码备份时是否分段。
|
| 备份方式 | 密码备份采取的方式。选择好备份方式后,请单击添加通知用户来设置接收密码备份通知的用户。
用户收到加密的密码文件后,请使用配置信息加密中配置的密码或密钥解密。 |
| 任务通知 | 接受改密通知的用户。执行改密任务时如果改密规则选择了同密码备份时,运维审计系统会在改密前和改密后发送通知给设定的用户。 |
| 执行记录 | 单击查看,查看密码备份的执行记录。 |
日志报表中可以查看历史密码。
历史密码中记录了运维审计系统中所有密码修改操作,一条记录对应一次修改操作,用户可以下载该条记录中的密码。
运维审计系统的密码修改分为两种情况,第一种情况是仅修改运维审计系统上资产帐号的密码,第二种情况是同时修改资产自身的密码和运维审计系统上资产帐号的密码。这些操作都会被记录在历史密码中。
如果帐号数量大,可通过以下方式查找满足条件的帐号。
| 参数 | 说明 |
|---|---|
| 帐号名 | 帐号的名称。 |
| 所属资产 | 帐号所在的资产。 |
| 资产IP | 资产的IP地址。 |
| 密码日期 | 修改密码的时间。 |
| 事件 | 修改密码的事件类型。 |
| 事件结果 | 上述事件的结果,取值包括成功和失败。 |
| 操作 | 单击下载,将密码文件保存到本地PC。用户也可以选中多个帐号单击批量下载或者直接单击下载全部,一次性下载更多密码文件。 Note: 如果事件结果是成功,则下载的密码文件是改密前的旧密码;如果事件结果失败,则下载的密码文件是改密后的新密码。
|
帐号管理相关的系统设置。
进行帐号改密,需要先配置改密规则。
如果需要在改密时给不同资产和帐号随机生成不同的密码,可以参考以下方式配置改密规则。
| 参数 | 说明 |
|---|---|
| 规则名称 | 密码规则在运维审计系统的唯一名称。允许任意字符,不超过30个字符。 |
| 密码策略 | 请选择随机生成不同密码。 |
| 使用缺省生成规则 | 指按照缺省规则生成新密码,密码为长度10位,字符随机。 |
| 自定义生成规则 | 自定义新密码生成规则,参数包括:
|
| 备份类型 | 设置修改密码时如何备份密码: |
如果需要在改密时给同一批资产及其帐号设置相同的密码,可以参考以下方式配置改密规则。
| 参数 | 说明 |
|---|---|
| 规则名称 | 密码规则在运维审计系统的唯一名称。允许任意字符,不超过30个字符。 |
| 密码策略 | 请选择随机生成相同密码。 |
| 使用缺省生成规则 | 指按照缺省规则生成新密码,密码为长度10位,字符随机。 |
| 自定义生成规则 | 自定义新密码生成规则,参数包括:
|
| 备份类型 | 设置修改密码时如何备份密码: |
如果需要给同一批帐号设置新密码时,仅从特定的随机密码集合中选取密码,可以参考以下方式配置改密规则。
| 参数 | 说明 |
|---|---|
| 规则名称 | 密码规则在运维审计系统的唯一名称。允许任意字符,不超过30个字符。 |
| 密码策略 | 请选择密码集。 |
| 使用缺省生成规则 | 指按照缺省规则生成新密码,密码为长度10位,字符随机。 |
| 自定义生成规则 | 自定义新密码生成规则,参数包括:
|
| 密码有效期(月) | 密码集的有效期,到期后将自动产生新的密码集。默认值为3个月,可选6个月或者12个月。 |
| 密码数量 | 密码集中包含的密码的数量。默认20个,可选50个、100个、200个。 |
| 备份类型 | 设置修改密码时如何备份密码: |
如果运维审计系统内置的改密方法无法满足需求时可以配置自定义改密方法。
。
| 工具类型 | 工具说明 |
|---|---|
| 交互式指令(Telnet) | 运维审计系统通过Telnet方式登录目标资产,执行指令,并根据目标资产的命令提示自动完成改密相关的交互。 |
| 交互式指令(SSH) | 运维审计系统通过SSH方式登录目标资产,执行指令,并根据目标资产的命令提示自动完成改密相关的交互。 |
将脚本文件下载到本地PC,也可以单击删除不需要的脚本文件。
,暂停播放。
,继续播放。
,跳转到上一个关键帧。
,跳转到下一个关键帧。{
"changesecret":{
"expectparams": [
{
"id": "1",
"cmd": "export LANG=C LC_ALL=en_US.UTF-8"
},{
"id": "2",
"cmd": "[ -x /usr/bin/pwdadm ] && /usr/bin/pwdadm -f NOCHECK <%account%>",
"pid": "1"
},{
"id" : "3",
"cmd": "passwd <%account%>",
"pid": "2"
},{
"id" : "4",
"cmd": "passwd",
"ptn": "[oO]nly",
"pid": "3"
},{
"id": "5",
"cmd": "<%oldpassword%>",
"ptn": "([cC]urrent)|([oO]ld)",
"alt": "<oldpwd>",
"pid": "4"
},{
"id": "6",
"cmd": "<%password%>",
"ptn": "[nN]ew.*assword:",
"alt": "<pwd>",
"pid": ["3", "5"]
},{
"id": "7",
"cmd": "<%password%>",
"ptn": "[rR]e.*assword:",
"alt": "<pwd>",
"pid": "6"
},{
"id": "8",
"cmd": "[ -x /usr/bin/pwdadm ] && /usr/bin/pwdadm -c <%account%>",
"pid": "7"
}
]
},
"changesecretandverify":{
"expectparams": [
{
"id": "1",
"cmd": "export LANG=C LC_ALL=en_US.UTF-8"
},{
"id": "2",
"cmd": "[ -x /usr/bin/pwdadm ] && /usr/bin/pwdadm -f NOCHECK <%account%>",
"pid": "1"
},{
"id" : "3",
"cmd": "passwd <%account%>",
"pid": "2"
},{
"id" : "4",
"cmd": "passwd",
"ptn": "[oO]nly",
"pid": "3"
},{
"id": "5",
"cmd": "<%oldpassword%>",
"ptn": "([cC]urrent)|([oO]ld)",
"alt": "<oldpwd>",
"pid": "4"
},{
"id": "6",
"cmd": "<%password%>",
"ptn": "[nN]ew.*assword:",
"alt": "<pwd>",
"pid": ["3", "5"]
},{
"id": "7",
"cmd": "<%password%>",
"ptn": "[rR]e.*assword:",
"alt": "<pwd>",
"pid": "6"
},{
"id": "8",
"cmd": "[ -x /usr/bin/pwdadm ] && /usr/bin/pwdadm -c <%account%>",
"pid": "7"
},{
"id": "9",
"cmd": "LANG=C LC_ALL=en_US.UTF-8 su - <%account%>",
"pid": "8"
},{
"id": "10",
"cmd": "LANG=C LC_ALL=en_US.UTF-8 su - <%account%>",
"pid": "9"
},{
"id": "11",
"cmd": "<%password%>",
"ptn": "assword",
"alt": "<pwd>",
"pid": ["9", "10"]
},{
"id": "12",
"cmd": "",
"pid": "11"
},{
"id": "13",
"cmd": "",
"ptn": "([Ii]ncorrect)|(Ff)ail",
"pid": "11"
},{
"id": "14",
"cmd": "echo FAILE",
"ptn": "VERIFY PASSWORD FAILED",
"pid": "13"
},{
"id": "15",
"cmd": "",
"pid": "10"
}
]
},
"verify":{
"expectparams": [
{
"id": "1",
"cmd": "echo flag"
},{
"id": "2",
"cmd": "echo verify success",
"ptn": "flag.*flag",
"pid": "1"
}
]
}
}| 变量 | 说明 |
|---|---|
| <%account%> | 需要改密的帐号名 |
| <%password%> | 新密码 |
| <%oldpassword%> | 旧密码 |
,以图形化的方式编辑已经上传的交互式脚本。
| Web页面参数 | 对应脚本参数 |
|---|---|
| id | id,不允许编辑。 |
| 指令 | cmd |
| 匹配 | ptn |
| 替换字符 | alt |
| pid | pid,不允许编辑。 |
和调整不同改密方法的顺序。| 参数 | 说明 |
|---|---|
| 适用资产 | 按资产选择改密方法适用的资产。默认为空,选填。单击可在弹出页中添加和删除。 |
| 适用资产组 | 按资产组选择改密方法适用的资产。默认为可,选填。单击可在弹出页中添加和删除。 |
| 适用帐号 | 适用的帐号。不选择表示适用于选定资产或者资产组的全部帐号。单击修改,可以输入适用帐号的帐号名,比如root,输入后回车后可以保存。 |
所有用户都能够进行个人帐号相关设置。个人相关设置包括Web界面的帐号设置和访问记录中的所有查看及修改设置的操作。
基本信息包含个人帐号名称、姓名、手机号码、工作邮箱等。但帐号名称只能查看不能修改。
| 参数 | 说明 |
|---|---|
| 姓名 | 用于标识该帐号所属的具体人员的姓名,会显示在右上角,并在管理员进行用户/资产/权限管理时作为提示信息。取值范围为1~100长度的字符串,不能为空。 |
| 手机号码 |
在以下场景会使用该手机号码:
标准格式的手机号码。如设置为空则不会发送短信给用户。 |
| 工作邮箱 |
在需要发送邮件给用户时,如发送备份的密码给相关用户时,运维审计系统会将相关信息发送到用户设置的该邮箱中。 标准格式的邮箱地址。如不设置,则在需要设置发送密码备份等信息的目标用户时,无法选中当前用户。 |
仅当用户使用本地密码登录,或使用双因子登录中的第一身份验证方式为本地密码时会显示该页签,并可以在此处修改本地密码。使用AD/LDAP、RADIUS认证的用户请在对应的AD/LDAP、RADIUS服务器上修改密码;使用手机令牌、短信认证、动态令牌的用户,请联系配置管理员在用户管理菜单中修改密码。
图标上进行查看。仅当用户类型为操作员时会显示该页签。用于设置操作员登录到运维审计系统 Web界面之后默认展示的页面。
仅当用户类型为超级管理员和配置管理员时会显示该页签并可以配置。当运维审计系统需要将密码信息提供给用户时(例如密码备份),会按照用户设置的密码对信息进行加密,从而确保文件的安全性。
当用户同时配置了以上两种加密方式时,单个文件将仅使用PGP加密;如存在多个文件需要打包加密,运维审计系统会将其先打包成ZIP包,使用ZIP加密, 再使用PGP公钥加密。
请通过设置的ZIP密码,或PGP私钥对获得的加密文件进行解密,从而查看其中的信息。
用户可以在此处配置PGP公钥。运维审计系统会将用户的密码信息通过该公钥加密,用户可以通过对应的私钥来解密。
PGP(Pretty Good Privacy)是一套用于消息加密、验证的应用程序。用户可以使用GPG4WIN等加密解密软件来生成密钥对,并进行加密和解密。
如用户收到或下载的是多个文件,将被先打包成ZIP包再进行PGP加密,用户将收到.zip.pgp后缀的文件。请先通过PGP私钥解密成ZIP包,再通过配置ZIP文件密码中的密码解压ZIP包。
如需清除PGP公钥配置,请单击重置并单击确定。
仅当用户角色为操作员、超级管理员、配置管理员时会显示该页签并可以配置。用于设置用户在访问资产并进行字符、图形会话和文件传输时的相关参数。
用于设置用户访问资产时建立的字符会话的访问方式及持续时间。
| 参数 | 说明 |
|---|---|
| 会话访问方式 | 用于设置本地PC为Windows时的字符会话访问方式,取值包括:
|
| 会话访问方式(Mac) | 用于设置本地PC为Mac时的字符会话访问方式,取值包括:
|
| 最大持续时间 | 用于设置字符会话的最大持续时间,取值包括:
|
| 直连分类方式 | 用户使用SSH直连方式访问时资产的分类方式,取值包括:
|
用于设置用户访问资产时建立的图形会话的分辨率、访问方式、最大持续时间等参数。
| 参数 | 说明 |
|---|---|
| 图形会话分辨率 |
仅当图形会话访问方式设置为mstsc时该参数的设置有效。 用于在启动RDP图形会话及应用系统图形会话的分辨率选项列表中,添加用户自定义的分辨率。运维审计系统分辨率选项列表中默认提供的分辨率包括:800x600、1024x768、1280x1024、全屏、最大化,该参数设置的图形会话分辨率将添加到该列表中,供访问时选择。 分辨率的取值范围为640x480~9999x9999。多个分辨率之间用空格隔开,例如“1280x800 1920x1080”。 |
| 默认分辨率 |
仅当图形会话访问方式设置为mstsc时该参数的设置有效。 用于在启动RDP图形会话及应用系统的图形会话的分辨率选项中,设置分辨率的默认值。取值范围为640x480~9999x9999,或fullscreen、maximize。 该参数为空表示使用系统设置的全局默认分辨率。如设置的默认分辨率不在图形会话分辨率列表中,运维审计系统会自动将该分辨率也添加到分辨率列表中。 |
| 图形会话访问方式 | 用于设置RDP图形会话及应用系统的图形会话的访问方式,取值范围如下:
Note: web和mstsc的访问方式,请根据实际情况选择。这两种访问方式对不同功能的支持也有一定限制,如web方式不支持通过剪贴板和磁盘映射传输文件,mstsc方式不支持会话共享。
|
| 启用Console连接 |
勾选该参数仅表示在配置所有RDP图形会话的启动参数时,都默认勾选启用Console连接,跟用户最终建立会话时是否勾选启用Console连接无关。 仅当待访问的资产的RDP访问协议中勾选了console时,该资产建立RDP会话时才会显示启用Console连接,此时帐号设置中该参数的设置才有效。 Note: 仅当待访问的主机系统是Windows Server时需要启用Console连接。启用Console连接表示使用/console参数登录Windows Server 2003,从而打开一个session id为0的控制台会话,或使用
/admin参数登录Windows Server 2008/2012/2016,打开一个session id为0的管理员模式的会话。 |
| 最大持续时间 | 用于设置字符会话的最大持续时间,取值范围如下:
|
| 磁盘映射 |
仅当图形会话访问方式设置为mstsc时该参数的设置有效。 设置该参数仅表示在配置所有RDP图形会话及应用系统的图形会话的启动参数时,磁盘映射都默认勾选该参数设置的磁盘盘符。用户最终建立会话时是否会勾选对应磁盘的映射由用户自己决定。该参数输入格式为单个字母表示的盘符,多个盘符之间用英文逗号隔开,例如“c,d,f”。 Note: 启用磁盘映射,并勾选或手动设置待映射的盘符,将本地PC对应盘符的硬盘,映射到待访问的资产上,使访问者可以直接在该资产上对本地PC上的相应硬盘进行读写操作。
|
| 回放方式 | 仅当登录用户为具有审计权限的角色(如超级管理员、审计管理员)时,显示该选项。用于控制进行图形审计回放时的回放方式,取值范围如下:
Note: web和java方式的详细区别,请参考播放会话录屏。
|
用于设置用户通过Web界面建立SFTP会话时,使用的SFTP工具。需要在本地PC上自行安装对应的工具。
| 参数 | 说明 |
|---|---|
| 会话访问方式 | 用于设置本地PC为Windows时建立SFTP会话使用的工具,取值范围如下:
|
| 会话访问方式(Mac) | 用于设置本地PC为Mac时建立SFTP会话使用的工具,取值范围如下:
|
仅当用户可以登录交互终端并访问资产时该页签配置有效,比如用户类型为操作员、超级管理员、配置管理员。用于当用户通过SSH登录运维审计系统时,使用此处配置的密钥对应的私钥进行验证,从而不输入密码登录到运维审计系统的字符交互终端。
用户可以通过查看访问记录中的信息,查看当前帐号的登录、登出情况,以确保帐号的安全。访问记录中会包含该用户的所有访问记录,除非管理员对登录日志做了清理。
进行刷新。
| 项目 | 说明 |
|---|---|
| 时间 | 当前帐号登入或登出的时间。 |
| 来自 | 当前帐号登录请求的来源IP。如登录操作经过了跳转,显示的IP为直接连接运维审计系统的IP。 |
| 姓名 | 登录帐号的姓名,在帐号设置中设置。登录失败时不显示。 |
| 帐号 | 当前登录帐号的名称。 |
| 身份验证 | 当前帐号登录时采用的身份验证方法,取值为系统允许的各种登录认证方式。使用双因子认证时将显示为使用的双因子认证方式模板的名称。使用密钥登录SSH交互终端时,会显示为pubkey。 |
| 登录方式 | 当前帐号登录运维审计系统的方式,取值范围如下:
|
| 登录描述 | 当前帐号登录情况,取值为“登录成功”、“登录失败”、“登出成功”之一。 |
| 操作结果 | 当前帐号登录或登出的结果,取值为“成功”或“失败”之一。 |
超级管理员可以在该界面查看运维审计系统网口的硬件信息及IP配置,并对IP相关配置进行修改。HA或者集群部署环境下不支持直接修改IP地址。
在配置IP地址前请确保已经正确的连线。
| 参数 | 说明 |
|---|---|
| 网口 | 网口名称。当有多个网口时可以下拉选择,下方的其他信息将对应显示该网卡的信息。 |
| 网口类型 | 光口或电口。 |
| 网口速率 | 网口传输速率。 |
| 已连接 | 网口状态。 |
| IP | 该网口上配置的IP地址,包括IPv4和IPv6地址。当有多个IP时可以下拉选择,掩码/前缀将显示为对应的IP的掩码/前缀。 |
| 掩码/前缀 | IPv4地址将显示为掩码,IPv6地址将显示为前缀。 |
| 网关 | 该网口的默认网关地址。 |
| 主DNS | 主DNS服务器。 |
| 备DNS | 备DNS服务器。 |
| 参数 | 说明 |
|---|---|
| 网口 | 选择要配置的网口。比如GE0/0、GE0/1,运维审计系统型号不同可选的网口会有所不同。 |
| 方式 | IP地址的配置方式:
|
| IPv4 | IPv4地址,方式为静态IP是必填,DHCP时无此选项。 |
| 子网掩码 | 掩码填写方式。掩码或前缀。 |
| 掩码/前缀 | 子网掩码,必填,DHCP时无此选项。子网掩码选择掩码时填写完整的掩码,选择前缀时仅填写掩码前缀。 |
| 网关 | IPv4地址的默认网关,选填,DHCP时无此选项。 Note: 存在多个网口时,请勿给多个网口同时配置IPv4网关,否则可能导致网络不可达。如果需要配置静态路由,请登录运维审计系统的Console控制台进行配置。
|
| 主DNS | 主DNS服务器,选填,DHCP时无此选项。 |
| 备DNS | 备DNS服务器,选填,DHCP时无此选项。 |
| IPv6 | IPv6地址,选填,DHCP时无此选项。支持用户使用该IPv6地址访问运维审计系统。 |
| IPv6前缀 | IPv6格式对应的前缀格式的掩码,1~128。仅当配置了IPv6地址时需要填写。 |
| IPv6缺省网关 | IPv6地址的默认网关,仅当配置了IPv6地址时需要填写。 Note: 存在多个网口时,请勿给多个网口同时配置IPv6网关,否则可能导致网络不可达。
|
运维审计系统支持手工修改和NTP同步两种方式修改系统时间和日期,您也可以通过Web页面查看系统时间。
运维审计系统支持通过邮件发送通知和告警,要正常使用这些功能,需要配置邮件服务。
运维审计系统支持内置SMTP和外部邮件服务器两种方式发送邮件。如果您没有邮件服务器推荐您使用内置SMTP,如果有建议您配置外部邮件服务器。
| 参数 | 说明 |
|---|---|
| 邮件服务器 | 邮件服务器地址,必填,默认值127.0.0.1,表示使用内置SMTP。 |
| 发件人地址 | 发件人地址,必填,格式需要符合RFC5322中定义的E-mail地址格式。 Note: 如果修改后的地址的域名启用了SPF记录,您还需要联系您的域名管理员将运维审计系统地址添加到SPF记录中,否则邮件可能会被收件人服务器拒收。
|
| 发件人名称 | 发件人的显示名称。选填,任意字符,不超过64的字符。比如您可以设置成运维审计系统。 |
| 服务器要求安全连接(SSL/TLS) | 运维审计系统和邮件服务器之间的通讯是否需要加密,默认值未勾选,内置的请保持未勾选状态。 |
| 服务器要求身份验证 | SMTP服务器是否要求进行身份验证,默认未勾选,内置的请保持未勾选状态。 |
| 参数 | 说明 |
|---|---|
| 邮件服务器 | 邮件服务器地址,可填写IP地址或者域名,必填,默认值127.0.0.1,请修改为您的邮件服务器地址。 Note: 如果使用非缺省端口(25或SSL465),请在地址后面加上
“:端口”。
|
| 发件人地址 | 发件人地址,必填,格式需要符合RFC5322中定义的E-mail地址格式。默认值name@example.com,请修改为您的邮件服务器中分配的地址。 |
| 发件人名称 | 发件人的显示名称。选填,任意字符,不超过64的字符。比如您可以设置成运维审计系统。 |
| 服务器要求安全连接(SSL/TLS) | 运维审计系统和邮件服务器之间的通讯是否需要加密,默认值未勾选,请根据实际情况选择。 |
| 本地postfix转发 | 仅当邮件服务器地址不为默认值127.0.0.1时显示此选项。勾选后,表示使用运维审计系统作为邮件转发服务器,邮件先发到运维审计系统再转发到邮件服务器。默认未勾选,请根据实际情况选择。 |
| 服务器要求身份验证 | SMTP服务器是否要求进行身份验证,默认未勾选,请根据实际情况选择。如果选择了需要填写:
|
如果需要使用运维审计系统的审计数据定期备份或者希望将帐号密码备份到文件服务器,需要准备FTP或者SFTP服务器并在运维审计系统中配置文件服务器。
| 参数 | 说明 |
|---|---|
| 协议 | 文件服务器使用的传输协议。
|
| 地址 | 文件服务器的IP地址。该项必填。 |
| 端口 | 文件服务器的端口。FTP默认为21,SFTP默认为22。该项必填。 |
| 用户名 | 文件服务器的用户名。该项必填。 |
| 密码 | 文件服务器的密码。该项必填。 |
| 工作目录 |
文件存放目录,要求必须使用Unix格式的目录风格。支持通配符,例如Linux的家目录可以配置为/home/%username(%username表示用户名)。该项必填。 建议采用绝对路径,例如/a/b/c。如果采用的是相对路径,例如a/b/c,对于Linux服务器会将/作为起点,对于Windows服务器会将FTP/SFTP的根目录作为起点。 Note:
|
| 子目录 | 文件存放的子目录。该项选填。子目录建立在工作目录下,支持日期变量:
Note: 仅在帐号管理功能中使用。
|
| 编码 | 文件服务器的文件名编码,缺省值UTF-8,常见的中文编码还包括GBK、GB2312、GB18030。该项必填。 |
通过配置告警事件可以实现身份认证成功/失败、访问特定资产、执行高危操作以及会话复核时发送Syslog或者邮件告警。
运维审计系统支持Syslog和邮件两个方式发送告警事件。
| 参数 | 说明 |
|---|---|
| syslog日志事件来源 |
配置需要通过Syslog发送的日志类型和最低发送级别(Severity)。 事件类型:
事件级别:在只发送级别不低于X的事件消息中选择需要发送的事件级别,只有和所选级别相同或者更高的事件才会发送。如果选择NONE表示不发送。 事件级别由低到高依次为:NONE (不发送告警事件)—>DEBUG(调试级)—>INFORMATIONAL(通知级)—>NOTICE(注意级)—>WARNING(告警级)—>ERROR(错误级)—>CRITICAL(临界级)—>ALERT(警戒级)—>EMERGENCY(致命级)。 |
| syslog日志发送对象 | 配置Syslog服务器:
|
Dec 27 18:20:13 h3c-node01 node1: login(WEB)(INFORMATIONAL)(service=native,identity=admin,from=10.10.67.15,login authorize success)Dec 27 18:24:24 h3c-node01 node1: access(INFORMATIONAL)(id=S0IAIA8C8X3QZV,service=tui login,server=CentOS(10.10.33.30),account=root,identity=admin(admin),from=10.10.67.15)Dec 27 18:36:39 h3c-node01 node1: cmd(NOTICE)(id=S0R9ADXQE020K7,service=cmdcheck,action=confirm(pass),server=CentOS(10.10.33.30),account=root,identity=test(test),from=10.10.67.15,command=ls -a)Dec 27 15:58:04 h3c-node01 h3c-node01: session(WARNING)(id=S2TGD1JJY69K4P,service=sessionReview,server=CentOS(10.10.33.30),account=root,identity=test(test),from=10.10.67.15,authorizer=admin,wait for reviewing)| 参数 | 说明 |
|---|---|
| 通知邮件事件来源 |
配置需要通过邮件发送的事件类型和最低发送级别。 事件来源:
事件级别:在只发送级别不低于X的事件消息中选择需要发送的事件级别,只有和所选级别相同或者更高的事件才会发送。如果选择NONE表示不发送。 事件级别由低到高依次为:NONE (不发送告警事件)—>DEBUG(调试级)—>INFORMATIONAL(通知级)—>NOTICE(注意级)—>WARNING(告警级)—>ERROR(错误级)—>CRITICAL(临界级)—>ALERT(警戒级)—>EMERGENCY(致命级)。 |
| 通知邮件收件人 | 配置收件人,支持同时三种类型的收件人:
Note: 您可以参考配置配置用户(手工创建)用户帐号的邮箱。
|
运维审计系统支持与用户的HTTP短信网关对接,同时也支持和阿里云短信网关、腾讯云短信网关对接,只能同时启用一个短信网关。配置短信网关后,可以使用运维审计系统的短信通知和短信认证功能。
| 参数 | 说明 |
|---|---|
| URL | HTTP短信网关的URL,必须为标准的HTTP或者HTTPS地址。例如http://1.1.1.1:8082。 |
| API参数 |
运维审计系统发送短信内容使用的API参数,格式为arg=value,多个API参数使用“,”进行分隔。例如mobile=<%mobile%>,content=<%content%>。 Note: 运维审计系统的value支持mobile和content,分别表示手机号码和消息内容。
请参考HTTP短信网关厂家的API文档设置API参数。 |
| 字符编码 | 运维审计系统发送短信内容使用的字符编码,取值包括:GBK、UTF-8和ASCII,缺省值为UTF-8。请与HTTP短信网关的设置保持一致。 |
| 发送方式 | 运维审计系统发送短信内容使用的方式,取值包括POST和GET,缺省值为GET。 |
| 参数 | 说明 |
|---|---|
| 签名 | 阿里云文本短信的签名管理界面添加的签名对应的签名名称。例如****公司。****替换为实际显示的内容,下同。 |
| 密钥ID | 阿里云AccessKey界面创建的AccessKey对应的AccessKey ID。例如LTAIraSv********。 |
| 密钥 | 阿里云AccessKey界面创建的AccessKey对应的Access Key Secret。例如eAA44h****……。 |
| 模板ID | 阿里云文本短信的模板管理界面添加的模板对应的模板CODE。例如SMS_146******。 |
| 模板参数 | 格式为格式为arg=value,多个API参数使用“,”进行分隔。例如mobile=<%mobile%>,content=<%content%>。请参考阿里云短信服务文档的模板变量规范填写变量。 |
| 参数 | 说明 |
|---|---|
| 签名 | 腾讯云短信内容配置的短信签名界面创建的签名对应签名内容。例如**公司。 |
| AppID | 腾讯云短信的应用配置界面显示的SDK AppID。例如:140016****。 |
| AppKey | 腾讯云短信的应用配置界面显示的App Key。例如:8794afd****……。 |
| 模板ID | 腾讯云短信内容配置的短信正文界面创建的正文模板对应的模板ID。例如231***。 |
| 模板参数 | 格式为格式为arg=value,多个API参数使用“,”进行分隔。例如mobile=<%mobile%>,content=<%content%>。请参考腾讯云文档平台的短信文档填写变量。 |
| 参数 | 说明 |
|---|---|
| 会话复核 |
配置会话复核后,当操作用户访问资产时,复核人会收到短信通知。短信的主要内容为:哪个操作员使用哪个帐号启动哪个资产的会话,需要您进行复核。 |
| 命令复核 |
配置高危命令后,当操作在资产上执行定义的高危命令时,复核人会收到短信通知。短信的主要内容为:哪个操作员使用哪个帐号在哪个资上执行哪个命令,需要您进行复核。 |
| 系统告警 |
选中系统告警,单击选择通知人,选择接收通知短信的用户(如果用户数量大,请输入帐号、姓名等属性进行筛选),完成后单击确定。 系统异常或者服务状态异常时(例如磁盘占用率超过80%或者某个服务已停止),运维审计系统会在Web界面最上方显示告警信息(红底)。启用发送通知短信功能后,通知人就能收到系统告警通知短信。 |
配置备份可以对运维审计系统的配置进行导出和导入。导出系统配置支持手动备份和定期备份。
修改运维审计系统对外开放的服务的端口号。
| 参数 | 说明 |
|---|---|
| 字符服务 | 运维审计系统的字符服务(SSH服务)端口号,缺省值为22。修改后通过SSH登录运维审计系统时请使用自定义的端口。 |
| 图形服务(RDP) | 运维审计系统的图形服务(RDP服务,通过Mstsc客户端连接)端口号,缺省值为3389。修改后通过RDP登录运维审计系统时请使用自定义的端口。 |
| 图形服务(Web方式) | 运维审计系统的图形服务(Web服务,通过Java客户端连接)端口号,缺省值为5899。修改后使用Web方式建立图形会话或者查看图形会话回放时将使用自定义的端口。 |
| 应用发布服务 | 运维审计系统访问的应用发布服务器的端口号,缺省值为3389。如果应用发布服务器对外开放的端口不是3389,请修改此处,确保运维审计系统访问的应用发布服务器的端口号是正确的。 |
| Web服务 | 运维审计系统的Web服务(HTTPS服务)端口号,缺省值为443。修改后登录运维审计系统 Web界面时请使用自定义的端口。 |
其他系统参数包含管理员联系方式、操作员默认首页等全局配置参数。
| 参数 | 说明 |
|---|---|
| 系统管理员 | 系统管理员姓名或者称呼,允许任意字符,不超过30位。 |
| 联系方式 | 系统管理员的联系方式,可以是电话、邮箱、IM等,允许任意字符,不超过64位。 |
运维审计系统支持通过SNMPv1和SNMPv2c被网管管理,常用的MIB节点如表13.1 常用MIB节点所示。
| 指标 | OID | 请求方式 |
|---|---|---|
| 系统描述 | 1.3.6.1.2.1.1.1.0 | get |
| 设备OID | 1.3.6.1.2.1.1.2.0 | get |
| SNMP守护程序的正常运行时长 | 1.3.6.1.2.1.1.3.0 | get |
| 网络接口个数 | 1.3.6.1.2.1.2.1.0 | get |
| 网络接口信息 | 1.3.6.1.2.1.2.2.1.2 | walk |
| 接口接收的总字节数 | 1.3.6.1.2.1.2.2.1.10 | walk |
| 接口接收的单播报文个数 | 1.3.6.1.2.1.2.2.1.11 | walk |
| 接口入方向丢弃的报文个数 | 1.3.6.1.2.1.2.2.1.13 | walk |
| 接口发送的总字节数 | 1.3.6.1.2.1.2.2.1.16 | walk |
| 接口发送的单播报文个数 | 1.3.6.1.2.1.2.2.1.17 | walk |
| 接口出方向丢弃的报文个数 | 1.3.6.1.2.1.2.2.1.19 | walk |
| 系统正常运行时长 | 1.3.6.1.2.1.25.1.1.0 | get |
| 内存总大小 | 1.3.6.1.4.1.2021.4.5.0 | get |
| 内存利用率(已使用的内存大小除以内存总大小) | 1.3.6.1.4.1.2021.4.6.0 | get |
| CPU利用率(空闲率) | 1.3.6.1.4.1.2021.11.11.0 | get |
开启SNMP后,运维审计系统会打开UDP 161端口,如果网管和运维审计系统之间部署了防火墙,请添加防火墙策略允许网管访问运维审计系统的UDP 161端口。
| 参数 | 说明 |
|---|---|
| SNMP读团体字 |
运维审计系统与网管之间使用团体字认证,缺省值为public。网管侧的读团体字必须与运维审计系统的读团体字保持一致,如果不一致网管侧访问运维审计系统将会失败。 |
| 白名单IP | 允许管理运维审计系统的网管IPv4地址,可以配置多个(一次输入一个,输入多次)。该项必须配置,如果不配置,则任何网管都不能管理运维审计系统。 |
运维审计系统支持用户设置不同的部门属性,并根据设置的部门实现部门分权。
部门分权的详细指导请参考《运维审计系统部门分权典型配置指导》,本节仅介绍部门管理界面的配置。
部门管理页面将显示每个部门对应的各种管理员的数量,单击数字之后,可以看到对应管理员的详情。
运维审计系统支持主备模式的HA。
对于硬件部署的HA,如IP配置为IPv4格式,心跳地址为可选配置,如IP配置为IPv6格式,心跳地址为必选配置;对于云平台部署的HA,只能使用IPv4格式的IP,且不支持配置心跳地址。
连接心跳线的HA组网如图13.1 HA组网所示。
一般情况下,业务流量只经过节点1(称为主节点),节点1将数据及时备份至节点2(称为备节点)。当节点1发生故障时,进行主从切换,由节点2来处理业务流量,从而确保业务的连续性。
配置HA前,请确保两个节点的软、硬件环境保持一致。HA配置成功后,数据会从主节点同步至备节点。同步的数据包括:
主节点会定时进行故障检测,如果主节点发生故障,就会进行主从切换,确保业务的连续性。故障检测包括:
请根据实际情况规划HA的数据,本文以下表为例配置HA。
| 项目 | 节点1 | 节点2 | 说明 |
|---|---|---|---|
| 主机名 | h3c-node01 | h3c-node02 | 两个节点的主机名不能一样。 |
| IP地址(业务口) | GE0/0: 10.10.33.6/20 | GE0/0: 10.10.33.7/20 | 业务口的IP地址,必须在同一个网段。建议两个节点的业务口连接同一个交换机。 |
以下操作请在h3c-node01上执行。
| 参数 | 说明 |
|---|---|
| 虚IP | 虚IP,与业务口的IP地址在同一个网段。HA配置完成后,用户必须通过虚IP访问运维审计系统。 |
| 虚IP绑定网卡 | 虚IP绑定的网卡,即主节点业务口所在的网卡。 |
| ping检测地址 | 检测网络连通性使用的目的IP地址,建议配置为主节点业务口IP地址的网关。 |
| 参数 | 说明 |
|---|---|
| 网口 | 主节点的业务口,不可配置。 |
| IP地址 | 主节点业务口的IP地址,不可配置。 |
| 子网掩码 | 主节点业务口IP地址的掩码,不可配置。 |
| 心跳地址 | 主节点心跳口的IP地址。主节点和备节点的心跳地址必须在同一个网段,且与业务口IP地址不再同一个网段。建议两个节点的心跳口直接相连。 云平台部署时无需配置,硬件部署时业务网口如使用IPv6地址则必配,如使用IPv4则选配。格式必须与业务网口地址格式一致。 |
| 参数 | 说明 |
|---|---|
| IP地址 | 备节点的业务口IP地址。 |
| 用户名 | 配置过程中主节点访问备节点Web界面时使用的用户名,必须为超级管理员。该数据仅在配置过程中需要,HA配置成功后不再需要。 |
| 密码 | 用户名对应的密码。 |
| 心跳地址 | 备节点心跳口的IP地址。 |
运维审计系统支持多活集群模式部署,以负载均衡的模式提供服务。
运维审计系统支持3个及以上节的机器组成集群。用户发起的到集群的访问可以以负载均衡的方式分配到各个节点,使用集群方式部署可以增加运维审计系统的横向扩展能力。单台机器的故障不会导致数据的丢失,只会短暂影响业务。
集群节点数量说明
集群的节点数量建议为2n+1(n>=1)个,也就是奇数个节点。当宕机的节点数>=总节点数一半时,集群就不可用。3节点集群,同时只能宕机1个节点。5节点集群,同时只能宕机2个节点,6节点集群,同时也只能宕机2个节点。
外部虚IP
运维审计系统集群对外提供访问虚IP,用户访问所请求的IP地址都是这个虚IP。外部虚IP需要和节点IP在同一网段。
内部虚IP
运维审计系统集群内部服务访问的虚IP。内部虚IP需要和节点IP在同一网段。
当用户访问量增加,集群的性能不能满足用户的高并发需求时。管理员可以通过新增节点来提高集群的横向扩展能力。
删除节点的条件
通过配置授权文件可以备份或者更新运维审计系统软件授权。
License即“许可证”或“授权”,是供应商与客户对所销售/购买的产品功能、资产等进行授权/被授权的一种合约形式。
购买授权后,请先申请授权文件,然后将授权文件导入运维审计系统。
运维审计系统支持通过Web界面安装qzp格式的系统升级包和补丁包,实现软件更新。
升级包是指从一个版本升级到另一个版本的软件包;补丁包是指一个版本内解决问题的软件包。升级包安装完成后需要手工重启系统,补丁包安装完成后不需要重启系统。
安装系统升级包和补丁包同时在Web和控制台下支持,请根据不同的部署场景选择安装方式:
升级操作执行完成后,Web界面上会显示已安装的升级包和补丁包 。
通过系统状态可以查看当前的基本状态,并进行一些系统管理操作。
维护模式是指停止ping和服务状态检查,维持当前主从关系不变。设置维护模式只能在HA和集群的主节点上执行。
要消除访问运维审计系统的Web界面时出现的证书错误提示,管理员需要配置运维审计系统的安全证书。安全证书是运维审计系统和客户端进行通信时所使用的服务器证书。
| 参数 | 说明 |
|---|---|
| C | 标准国家代号 ,如CN,表示中国,必填,仅支持字母、数字、空格、.-_。 |
| ST | 省份,如ZheJiang,表示浙江省,必填,仅支持字母、数字、空格、.-_。 |
| L | 城市,如Hangzhou,表示杭州,必填。 |
| O | 组织名称,如您的公司英文名,必填。 |
| OU | 组织单位,如您部门的英文名,必填。 |
| CN | 访问运维审计系统的IP地址或者域名,比如192.168.1.1,请务必和实际地址和域名保持一次。HA部署的填写HA虚地址或者对应的域名,集群部署的填写集群对外虚IP或者对应的域名。 |
| 参数 | 说明 |
|---|---|
| 口令 | 上传的证书私钥对应的密码(PassPhrase)。如无密码则留空。 |
| 上传证书 | 单击浏览,上传pem格式的运维审计系统的服务器证书(扩展名为crt)。 |
| 上传私钥 | 单击浏览,上传pem格式的运维审计系统的服务器证书对应的私钥(扩展名为key)。 |
当运维审计系统启用了AD/LDAP身份验证后,可以配置LDAP同步,自动从LDAP中定期导入用户帐号。
如果您只需要同步一次,可以参考配置用户(LDAP导入)。如果您需要周期性同步,请按以下方法配置:
| 参数 | 说明 |
|---|---|
| LDAP地址 | 运维审计系统将直接读取中名称为AD/LDAP中配置的服务器地址。 |
| baseDN | 需要同步到运维审计系统的用户DN的范围,例如"dc=mydomain,dc=org"。 |
| objectClass | 选择设置LDAP对象类。 |
| memberOf | 选择设置用户所属的分组。 |
| 过滤条件 | 设置过滤条件来筛选用户,过滤条件的语法请参考RFC4515。 |
| ldap用户属性关系 | 设置LDAP属性和运维审计系统中用户帐号属性的对应关系:
|
| 参数 | 说明 |
|---|---|
| 执行时间 | 任务的首次执行日期和每次执行时间。 |
| 执行间隔 | 任务的执行周期,支持按天或者按月。超过31天,只支持按月。 |
| 入组配置 | 选择新用户的默认用户组。选填。 Note: 关于用户组,可以参考配置用户组。
|
| 同步行为 | 当AD或者LDAP上禁用或者删除用户后,运维审计系统上帐号的处理方式:
|
运维审计系统支持对审计数据进行手动和定期备份,手动或定期自动将运维审计系统中的审计数据备份到文件服务器上。
| 参数 | 说明 |
|---|---|
| 定期备份 | 设置每天的备份时间。备份数据的时间范围是上次备份截止时间到当天凌晨0点。 |
| 文件服务器一、文件服务器二 | 选择备份到哪一台文件服务,可以同时选择,选择运维审计系统会同时备份到两台文件服务器。 |
运维审计系统将按照设定的时间向文件服务器备份审计数据,备份时采用增量备份方式。审计数据将被备份到文件服务器的工作目录下面,名称中包含sesslog的多个文件夹中。
审计日志备份定期任务执行后,上次执行时间将显示上次执行清理任务的时间和执行结果(包括失败原因)。
审计数据定期备份如果失败,所有超级管理员都将在右上角收到备份失败提醒。
| 参数 | 说明 |
|---|---|
| 手动备份 | 设置备份起始时间。将该起始时间至今的审计数据备份到文件服务器。 |
| 文件服务器一、文件服务器二 | 选择备份到哪一台文件服务,可以同时选择,选择运维审计系统会同时备份到两台文件服务器。 |
运维审计系统将立即向文件服务器备份审计数据,备份用户指定的时间范围内的审计数据。审计数据将被备份到文件服务器的以下路径:文件服务器工作目录/sesslogbk-manual。
执行手动备份后,确定按钮上方将显示上次执行备份任务的时间和执行结果(包括失败原因)。
运维审计系统支持每天在指定时间清理N天前的审计日志。
清理的审计日志包括:
配置完成后,运维审计系统每天在指定的时间清理N天之前的审计数据。审计日志清理定期任务执行后,上次执行时间将显示上次执行清理任务的时间和执行结果(包括失败原因)。审计管理员也可以在中查看到一条日志。
审计数据清理如果失败,所有超级管理员都将在右上角收到清理失败提醒。
通过网络问题诊断功能,管理员可以进行ping测试、TCP/UDP端口测试、抓包等操作。
运维审计系统基于Linux系统提供以上命令工具,所有命令的使用格式参考Linux下该命令使用规范。
本节介绍用户管理的基础设置,包括启用AD、LDAP、RADIUS等其他认证方式、调整用户认证和登录相关的参数。
本地用户的密码要求包括长度、复杂度、有效期等,配置本地用户的密码时需要满足这些要求。
| 参数 | 说明 |
|---|---|
| 最小长度 |
密码的最小长度,整数形式,取值范围是6~14,缺省值为6。 |
| 复杂程度 | 密码的复杂程度要求。
|
| 有效期限 | 密码的有效期,取值包括:不限、30天、90天、180天、1年,缺省值是不限。 |
| 过期处理 | 密码配置了有效期限,密码过期后的处理方式。
|
| 密码相同检查 | 新密码不能与前面多少个历史密码相同。整数形式,取值范围是1~100,缺省值是5。 |
运维审计系统支持和AD服务器对接,使用AD服务器来集中完成用户身份认证。运维审计系统支持配置多个AD服务器。
运维审计系统缺省提供一个名称为AD/LDAP的认证方式(名称支持修改),状态为禁用。用户可以使用缺省的认证方式,也可以创建新的AD认证服务器。本节以新建AD认证服务器为例进行介绍。
| 参数 | 说明 |
|---|---|
| 服务器地址 | AD服务器的IP地址和端口,缺省端口号是389,如果使用SSL是636。 Note:
|
| 域名 | AD服务器的域名,例如example.com。 |
| 参数 | 说明 |
|---|---|
| CA | AD服务器的CA证书,单击浏览选择文件上传。 |
| CERT | 运维审计系统的客户端证书CERT,单击浏览选择文件上传。 |
| KEY | 运维审计系统的客户端证书对应的KEY,单击浏览选择文件上传。 |
| 允许忽略无效证书 | 如果选中,运维审计系统不对LDAP服务器的证书进行合法性检查;如果不选,运维审计系统将对LDAP服务器的证书进行合法性检查,对于使用非知名CA签发证书的LDAP服务器,请务必上传CA证书。 |
运维审计系统支持和LDAP服务器对接,使用LDAP服务器来集中完成用户身份认证。运维审计系统支持配置多个LDAP服务器。
运维审计系统缺省提供一个名称为AD/LDAP的认证方式(名称支持修改),状态为禁用。用户可以使用缺省的认证方式,也可以创建新的LDAP认证服务器。本节以新建LDAP认证服务器为例进行介绍。
| 参数 | 说明 |
|---|---|
| 服务器地址 | LDAP服务器的IP地址和端口,缺省端口号是389,如果使用SSL是636。 Note:
|
| 域名 | 域名,例如test.com。 |
| 匿名访问 |
|
| BaseDN | 登录运维审计系统的用户DN的范围,例如"dc=mydomain,dc=org"。 |
| 用户名属性 | 用户名的属性名称,如uid、cn等。 |
| 参数 | 说明 |
|---|---|
| CA | LDAP服务器的CA证书,单击浏览选择文件上传。 |
| CERT | 运维审计系统的客户端证书CERT,单击浏览选择文件上传。 |
| KEY | 运维审计系统的客户端证书对应的KEY,单击浏览选择文件上传。 |
| 允许忽略无效证书 | 如果选中,不对LDAP服务器的证书进行合法性检查;如果不选,将对LDAP服务器的证书进行合法性检查,对于使用非知名CA签发证书的LDAP服务器,请务必上传CA证书。 |
运维审计系统支持和RADIUS服务器对接,使用RADIUS服务器来集中完成用户身份认证。
| 参数 | 说明 |
|---|---|
| 认证方式 |
RADIUS服务器要求使用的认证方式,包括PAP和CHAP。
|
| 服务器地址 | RADIUS服务器的IP地址和端口,缺省端口号是1812。 Note:
|
| 有共享密钥 | RADIUS服务器和运维审计系统之间通信的共享密钥。 Note: 共享密钥可以显示也可以隐藏,请单击对应的显示密码、隐藏密码按钮。
|
运维审计系统支持基于时间的动态令牌认证。动态令牌可以独立作为一种认证方式,也可以和其他认证方式结合使用形成双因子认证方式。
TOTP (基于时间的一次性口令)使用加密散列函数将密钥与当前时间戳结合,来生成一次性口令。TOTP定期产生一个新口令,要求客户端和服务器能够十分精确的保持正确的时钟,客户端和服务端基于时间计算的动态口令才能一致。使用TOTP令牌不需要令牌和运维审计系统之间保持网络通信,也不需要其他额外的认证服务器。
手工新建令牌
设置各参数,完成后单击确定。
| 参数 | 说明 |
|---|---|
| SN | 动态令牌的SN,由若干位数字组成,请在动态令牌实体上查看。 |
| KEY | 动态令牌的KEY,由若干位数字和字符组成,请在发货附件中查看。KEY和SN一一对应。 |
批量导入令牌
,从列表中删除该令牌。运维审计系统支持手机令牌认证,且手机令牌认证必须和其他认证方式结合使用形成双因子认证方式。
动态口令的基本认证原理是认证双方使用同一个共享密钥对时间进行密码算法计算,之后比较计算值是否一致从而进行认证。TOTP (基于时间的一次性口令)使用加密散列函数将密钥与当前时间戳结合,来生成一次性口令。TOTP定期产生一个新口令,要求客户端和服务器能够十分精确的保持正确的时钟,客户端和服务端基于时间计算的动态口令才能一致。
手机令牌是TOTP在手机客户端上的实现。运维审计系统的手机令牌适用于双因子认证场景,即手机令牌和其他认证方式(例如本地密码、AD、LDAP和RADIUS认证)结合使用。
配置时间偏移窗:配置允许的手机和运维审计系统之间的时间偏差。整数形式,取值范围是1~30。取值每增加1,时间偏移增加30秒。缺省值是1,表示允许的时间偏移是30秒。
运维审计系统支持短信认证,短信认证必须和其他认证方式结合使用形成双因子认证方式。
| 参数 | 说明 |
|---|---|
| 认证类型 | 运维审计系统已配置的认证类型,取值为HTTP。如果没有配置或者要修改配置,请单击配置认证信息。 |
| 消息过期时间 | 认证消息过期时间。整数形式,单位是分钟,取值范围是1~5,缺省值是2。 |
运维审计系统支持将两种认证方式结合使用形成双因子认证方式。
用户使用双因子认证方式登录运维审计系统时,密码输入方式有以下两种。缺省情况下,两种密码输入方式都支持。
| 参数 | 说明 |
|---|---|
| 名称 | 双因子认证的名称,字符串形式,长度范围是1~30个字符。 |
| 认证方式1 | 请选择第一认证方式,其中本地密码只能作为认证方式1。 |
| 认证方式2 | 请选择第二认证方式,其中动态令牌、手机令牌、短信认证、USBKey认证只能作为认证方式2。 |
运维审计系统支持通过X.509证书对用户进行身份认证。
| 参数 | 说明 |
|---|---|
| 用户信息匹配规则 |
匹配用户证书Subject内容的规则,使用正则表达式表示。 配置匹配规则时,支持使用运维审计系统上定义的以下变量:
假设用户的个人证书的Subject内容如下: 运维审计系统读取Subject内容并处理,处理后内容如下(各主题之间用“,”分隔): 匹配规则示例:
|
| 受信任根证书 | 单击浏览,上传签发用户证书的根证书(扩展名可以为pem、crt、cert)。 |
| 验证深度 | 证书的验证深度。整数形式,取值范围是1~99,缺省值为1。如果用户证书直接由根证书签发,验证深度为1;如果用户证书由根证书的一级中间证书签发,验证深度为2;以此类推。 |
USB Key认证,可以作为单独的认证方式,也可以作为双因子认证的第二重认证方式。
USB Key的登录认证需要安装控件。运维审计系统目前只提供了IE11浏览器的控件,因此超级管理员签发USB Key,也必须使用IE11浏览器。
启用USB Key认证
设置用户使用USB Key认证
签发USB Key
| 参数 | 说明 |
|---|---|
| USBKey序列号 | 用于在运维审计系统中唯一地标识一个USB Key,仅用于内部管理,可以不使用硬件序列号。例如180101AF02464。 |
| 持有人 | 必须是已存在的用户,且身份验证方式为为USBKey认证或包含USBKey认证的双因子认证,并且不存在已签发的USB Key,才能在此下拉选择。例如选择用户usb。 |
| 有效期 | 超过该有效期的USB Key将无法使用。取值范围为1 - 36500。例如取默认值1095。 |
为提高密码安全性,请设置密码输错多少次会导致运维审计系统锁定IP和帐号以及锁定时长。
| 参数 | 说明 |
|---|---|
| 密码错误锁定(次) | 密码输错多少次时锁定用户,整数形式,取值范围是1~99,缺省值是3。 |
| 客户端锁定(次) | 在同一个客户端上使用相同或不同帐号登录,密码输错多少次时锁定该客户端的IP地址。整数形式,取值范围是1~99,缺省值是10。 |
| 锁定时长(秒) | 用户和IP地址的锁定时长,取值范围是1~600,缺省值是60。 |
运维审计系统缺省提供了多个用户角色并支持自定义用户角色,本节介绍如何查看各角色的授权情况、修改操作员的授权权限以及创建用户角色并授权。
,设置各参数,完成后单击保存授权。
| 参数 | 说明 |
|---|---|
| 角色名称 | 用户角色的名称,字符串格式,长度范围是1~30。 |
| 角色描述 | 用户角色的描述。 |
| 管理授权 | 用户角色拥有的对运维审计系统的管理和配置权限,包括:用户、资产、权限、工单和系统设置,选中对应的复选框即可。 |
| 服务授权 | 用户角色拥有的访问运维审计系统服务的权限,包括:访问资产、审计、、高危操作、文件传输、报表、自动化,选中对应的复选框即可。 Note:
管理员如果选中了审计,还可以单击左下角的
 ,然后勾选查看键盘记录、下载会话来进一步设置用户的权限,包括全部勾选、全部不勾选和只勾选查看键盘记录。
|
配置用户时,如果运维审计系统提供的预定义用户属性不满足需求时,请自定义用户属性。
| 参数 | 说明 |
|---|---|
| 名称 | 用户属性的名称,字符串格式,长度范围是1~30。 |
| 类型 | 用户属性的类型。
|
为提高安全性,请设置允许或禁止用户登录运维审计系统的时间、IP地址和MAC地址范围。
管理员可以配置多条登录控制策略,当有用户登录时,运维审计系统会从上到下匹配,一旦匹配到某条策略就执行对应的动作,不再继续向下匹配。管理员可以通过单击和来调整策略的优先级。
| 参数 | 说明 |
|---|---|
| 时间 | 登录控制的时间范围,格式如下:
请根据实际需要组合多个范围使用,多个范围之间是交集的关系,即设置的几个范围要同时满足。多个范围请用空格分隔。取值为空时表示不限制。 例如,每周一到周五的8:00至18:00写作w[1-5] T[08:00-18:00] |
| IP地址 | 登录控制的IP地址范围,格式如下:
请根据实际需要组合多个范围使用,多个范围请用英文逗号“,”分隔,最大长度为1024个字符。 取值为空时表示不限制IP地址。 |
| MAC地址 |
登录控制的MAC地址范围,要求如下:
|
| 条件 | 包括满足、不满足和不启用。其中不启用表示该登录控制策略不生效。 |
| 动作 | 登录控制的动作,包括允许和禁止。 |
管理员修改资产类型的属性,新增资产类型。
运维审计系统中内置了常见的资产类型。如果用户设备不在这些资产类型范围内,管理员可以在此增加新的资产类型。
资产类型与新建资产时的默认参数有关,例如指定Linux资产默认使用的字符终端为SSH。管理员可以修改资产类型的参数,以满足新设备被创建时,拥有期望的默认参数的需求。
通过运维审计系统访问的资产主要有两种类型。
运维审计系统作为客户端能够通过相关远程协议直接访问目标资产,用户可以通过运维审计系统直接发起到资产的访问。访问的的路径为:用户PC->运维审计系统->目标资产。
例如:支持SSH、Telnet、RDP、VNC、Xdmcp、Xfwd、TN5250协议的资产。
有些资产属于Windows下的应用程序,用户通过运维审计系统无法直接访问。如果要访问这类型的资产,需要通过应用发布服务器来访问。访问的路径为:用户PC->运维审计系统->应用发布服务器->目标资产。
例如:Chrome浏览器、Firefox浏览器、Plsqldev客户端、Navicat客户端等。
通过运维审计系统直接访问的资产类型存在于运维审计系统主机、网络两个类别中。
| 参数 | 说明 |
|---|---|
| 名称 | 输入此资产类型的名称。 |
| 分类 | 选择此资产类型所属的分类,如果没有所属的分类,可以选择编辑新增一个分类。 |
| 字符终端 | 勾选该资产所拥有的协议。当新建该类型的资产后,可以在资产的访问协议中,选择添加这些协议。访问协议配置方法参考配置资产的访问协议。 在下拉框中选择相关协议,以作为该资产创建时的默认添加的字符协议。如果无法选择默认添加协议,请确认其后的相关协议是否勾选。 SSH和Telnet协议的高级属性中,可以修改默认端口。 TN5250协议的高级属性中,可以修改默认端口、用户名框、密码框的坐标位置。 |
| 图形终端 | 勾选该资产所拥有的协议。当新建该类型的资产后,可以在资产的访问协议中,选择添加这些协议。访问协议配置方法参考配置资产的访问协议。 在下拉框中选择相关协议,以作为该资产创建时的默认添加的图形协议。如果无法选择默认添加协议,请确认其后的相关协议是否勾选。 RDP协议的高级属性中,可以修改默认端口,指定是否默认使用Console模式(Console模式相当于mstsc的/admin或/console选项,表示是否允许普通用户连接终端服务器的控制台会话(session id=0),用于防止终端服务器授权的会话数超过后,用户无法登录目标资产的情况。)。 VNC协议的高级属性中,可以修改默认端口,指定是否默认使用商业版方式。当目标资产是商业版VNC时,需要勾选该项目。 Xdmcp协议的高级属性中,可以修改默认端口,该端口一般为UDP端口。 Xfwd协议的高级属性中,可以修改Xfwd方式启动所调用的程序。 |
| 特权帐号 | 输入该资产类型的特权帐号。指定特权帐号的目的是为了通过运维审计系统执行一些针对目标资产的高权限操作,例如帐号改密等操作。 |
| 改密方式 | 选择该资产类型的改密方式。不同的改密方式代表着不同的改密脚本,改密方式主要用于帐号改密功能。帐号改密,配置方法参考配置改密计划。 |
| 编码类型 | 选择资产类型的编码。该编码主要影响中详情页命令和输出的编码。 |
通过应用发布服务器访问的资产类型存在于运维审计系统数据库、应用系统两个类别中。
| 参数 | 说明 |
|---|---|
| 特权帐号 | 指定该资产类型的特权帐号。指定特权帐号的目的是为了通过运维审计系统执行一些针对目标资产的高权限操作。 |
| 默认客户端 | 指定该资产类型的默认客户端。该类型资产被创建时的默认添加这个客户端。 |
新增资产的属性。
当资产被创建后,可以拥有资产名称、资产IP、简要说明、资产类型等系统默认属性,当资产需要拥有新的属性时,管理员可以通过配置资产属性方式来完成。
| 参数 | 说明 |
|---|---|
| 名称 | 输入资产属性的名称。 |
| 类型 | 选择资产属性的数据类型。有字符串、数字、日期、可选值四个选项。类型参考表13.3 资产属性类型说明 |
| 长度/范围/可选项 | 根据类型参数的不同,此项目会有不同的样式。可以指定该数据所能设置的范围。 |
| 类型 | 说明 |
|---|---|
| 字符串 | 字符可以是任意可显示字符,包括特殊字符,例如:~!@#$%^&*()_+{}|:"<>?~!@#¥%^。 |
| 数字 | 只能是整数数字。 |
| 日期 | 只能是日期格式的数据。 |
| 可选值 | 必须得预定义可选值,可预定义多个可选值。 |
运维审计系统中包含多种的会话访问方式,包括Web页面访问,字符会话访问、图形会话访问、文件传输访问。每种会话访问在启动时,都带有默认参数,例如字符会话的最大持续时间、图形会话启动默认调用的客户端等。管理员可以通过当前菜单,修改会话访问中的默认参数。
修改访问运维审计系统字符会话的默认参数。
ShellMenu
用户使用本地计算机的SSH客户端访问运维审计系统时,运维审计系统会以列表方式列出所有可访问的字符资产,该列表方式被称为ShellMenu。
这两种方式启动的字符会话的默认参数,都可以在此处进行修改。
| 参数 | 说明 |
|---|---|
| 终端字符编码 | 通过SSH客户端直连运维审计系统时,ShellMenu的编码。 当ShellMenu出现乱码时,修改此项。 |
| 初始终端标题 | 通过运维审计系统访问字符资产时,调用的SSH客户端的标题栏内容。 标题格式中可以包含变量,变量包含在{}中,默认变量:{user}代表登录用户,{account}代表帐号,{hostname}代表服务器名,{hostaddr}代表服务器IP。格式中不支持英文双引号。 运维审计系统调用不同种类的SSH客户端时,因为兼容性问题,效果会存在差异,请以实际效果为准。SecureCRT的支持最为完善。 |
| 并发登录限制(个) | 运维审计系统所允许的全局最大字符会话数量和单用户所允许的最大字符会话数量。 该参数只对字符会话生效,图形会话、登录测试会话、回放会话、复核会话、会话共享会话都不占用这个限制。当超出最大显示,连接运维审计系统的字符会话,运维审计系统会显示当前登录连接数超出。默认值为0表示不限制。 |
| 终端登录提示 | 通过运维审计系统访问字符会话时,会出现该登录提示。 如果该内容显示乱码,请修改终端字符编码。 |
| 字符会话输入超时 | 字符会话无输入时间开始算起,超时将退出。 单位:时:分。0:00分表示无超时设置。使用rz、sz方式传输文件过程中不会退出。 |
| 最大持续时间 | 字符会话初始访问时间开始算起,超时将退出。 最长时间阈值为5天23:59分。不可以设置0天0:00。 |
| 会话访问方式 | 在Windows环境下,通过Web页面访问字符会话所调用的SSH客户端。 如需修改个人帐号会话访问方式,请参考修改会话配置。 |
| 会话访问方式(Mac) | 在Mac环境下,通过WEB页面访问字符会话所调用的SSH客户端。 如需修改个人帐号会话访问方式,请参考修改会话配置。 |
| 直连分类方式 | 用户使用SSH直连方式访问时资产的分类方式,取值包括:
|
| 自动登录超时(秒) | 字符会话使用密码代填功能时,连接过程的超时时间。 如果使用字符会话密码代填功能,并且连接过程时间过长,请修改此项目。 |
| 终端菜单超时退出(秒) | 通过SSH客户端直连运维审计系统时,ShellMenu无操作退出的超时时间。 内容为0,表示不自动退出。 |
| 切断过夜会话 | 切断该时间点的字符会话。 对于连接未超过5分钟的字符会话不受影响。 Note: 单击左下角的重置可以清空切换过夜会话的设置。
|
| 命令输出限制 | 审计中,对记录到ElasticSearch中的命令输出的长度和大小进行限制。字符会话命令输出超出范围时,不进行记录。(只影响中的输出,不影响字符会话实时、回放、下载方式时的输出。) 填写输出行数和输出文件大小以进行限制,当输出内容满足以上任何一个条件,就停止记录。输出行数和输出文件大小都不能设置为0。 |
| 命令记录限制 | 审计中,对记录到会话日志文件中的命令输出进行限制。字符会话两次键盘输入之间的输出超出范围时,不进行记录。(只影响字符会话实时、回放、下载方式时的输出,不影响中的输出。) 不可以设置为0。 |
修改访问运维审计系统图形会话的默认参数。
这两种方式启动的图形会话的默认参数,都可以在此处进行修改。
| 参数 | 说明 |
|---|---|
| 初始终端标题 | 通过运维审计系统访问图形资产时,标题栏的内容。 标题格式中可以包含变量,变量包含在{}中,默认变量:{user}代表登录用户,{account}代表帐号,{hostname}代表服务器名,{hostaddr}代表服务器IP。格式中不支持英文双引号。 通过WEB页面方式启动图形会话时,标题显示在标签页名称中。通过RemoteAPP方式启动的Rdpapp会话不显示标题。 |
| 键盘记录开关 | 审计是否记录图形会话的键盘事件和字符剪切板的记录。 默认选项为记录,如果不记录,将不产生数据。 |
| RDP启动方式 | 通过WEB页面启用的RDP会话,使用的启动方式。 选项Mstsc:从本地计算机打开Mstsc工具调用RDP的方式。如需修改个人帐号RDP启动方式,请参考修改会话配置。 |
| 图形会话输入超时 | 图形会话无操作时间开始算起,超时将退出。 单位:分钟。0表示无超时设置。 |
| 最大持续时间 | 图形会话初始访问时间开始算起,超时将退出。 最长时间阈值为7天23:59分。不可以设置0天0:00。 |
| 默认分辨率 | 通过web页面以Mstsc启用的RDP会话的分辨率。 默认全屏:RDP会话会以全屏的方式显示,如需退出该会话,请将鼠标移动到页面的顶部中间位置,会出现Mstsc的会话操作标题栏,点击X退出。 最大化:RDP会话在当前桌面显示,但是不会遮挡本地计算机的任务栏,方便本地计算机任务切换。此分辨率是运维审计系统的默认初始分辨率,也是推荐使用的分辨率。 如需修改个人帐号的默认分辨率,请参考修改会话配置。 |
| 反连地址限制 | 使用Xdmcp服务时,是否针对所有IP开放Xdmcp协议使用的TCP6000-6009端口。 使用Xdmcp服务时,运维审计系统会打开TCP6000-6009端口,以监听Xdmcp的反向连接,如果向所有IP开放TCP6000-6009端口,会产生安全漏洞。 选项是:XDMCP服务在连接目标资产时,针对目标资产的地址开启防火墙端口。防止非目标资产的反向连接。推荐使用这种方式。 选项否:XDMCP服务在连接目标资产时,不针对目标资产的地址开启防火墙端口。任何目标资产都可以反向连接。 |
| 会话切片大小(MB) | 审计记录图形会话,会话文件在达到切片大小时,生成下一个切片。 中可以看到切片文件。 |
| 按标题切片 | 审计记录RDP会话,如果RDP会话的当前活跃窗口的标题发生变化,生成一个切片。 开启该选项后,中将出现按标题切片的页签。 Note: 只支持RDP会话,且RDP启动方式为mstsc。如果RDP启动方式为web,按标题切片中无内容。
|
| 是否开启tls | 运维审计系统监听的3389端口是否只允许TLS方式的连接。 该选项变更会重启RDP服务,当前在线RDP会话会被全部断开。 开启TLS连接,可以规避Microsoft Windows Remote Desktop Protocol Server Man-in-the-Middle Weakness漏洞。 |
| 回放方式 | 用于控制进行图形审计回放时的回放方式,取值范围如下:
Note: web和java方式的详细区别,请参考播放会话录屏。
|
修改访问运维审计系统文件传输的默认参数。
| 参数 | 说明 |
|---|---|
| 是否留痕 | 通过运维审计系统进行文件传输的文件是否在运维审计系统上保留一份副本。 留痕文件可以在中下载。 |
| 文件留痕阈值(单位M) | 只有小于该阈值的文件会进行文件留痕操作。 此参数留空代表不设限制,所有文件都进行留痕操作。 |
| 个人配额限制(单位M) | 通过WEB页面文件传输模块,进行网盘模式文件传输的个人空间的配额。 此参数留空代表不限制配额。 |
| 禁用Zmodem传输 | 是否允许rz/sz方式,进行字符会话下的文件传输。 |
| 会话访问方式 | 在Windows环境下,通过WEB页面访问文件传输所调用的客户端。 如需修改个人帐号会话访问方式,请参考修改文件传输配置。 |
| 会话访问方式(Mac) | 在Mac环境下,通过WEB页面访问文件传输所调用的客户端。 如需修改个人帐号会话访问方式,请参考修改文件传输配置。 |
| 初始终端标题 | 通过运维审计系统访问文件传输时,调用客户端的标题栏内容。 标题格式中可以包含变量,变量包含在{}中,默认变量:{user}代表登录用户,{account}代表帐号,{hostname}代表服务器名,{hostaddr}代表服务器IP。 运维审计系统调用不同种类的客户端时,因为兼容性问题,效果会存在差异,请以实际效果为准。Filezilla的支持最为完善。 |
修改运维审计系统访问的通用参数。
用户可以使用多种方式登录运维审计系统访问目标资产,例如WEB页面,SSH客户端直连等。关于访问通用的默认参数,可以在此处进行修改。
| 参数 | 说明 |
|---|---|
| 默认备注方式 | 通过运维审计系统访问目标资产时,用户是否需要填写备注信息。 通过Mstsc客户端和SFTP客户端直连运维审计系统的会话不受此参数影响。 |
| WEB超时时间(分) | WEB会话无操作时间开始算起,超时将退出。 |
| 会话切断策略 | WEB会话退出时,是否切断从WEB页面启动的字符、图形会话。 从WEB页面启动的以WEB方式访问的RDP会话,不受此参数影响,如果WEB会话退出,WEB页面的RDP会话一定会断开。 |
| 同一用户帐号同时只允许从一个IP地址访问 | 只要用户帐号通过当前IP地址登录运维审计系统的会话存在,运维审计系统就不允许该用户帐号从其他IP地址上登录。 所登录的会话类型不光包括WEB会话,还包括TUI和GUI会话。 关于WEB会话的退出,用户需要在页面右上角,单击用户帐号,单击退出。如果直接关闭浏览器,并不能直接退出WEB会话。 |
用户通过运维审计系统,使用SSH、Telnet、RDP、VNC、Xdmcp、Xfwd、TN5250等远程连接协议,可以直接访问这类型的资产。但是当用户需要基于Windows图形化客户端的工具,访问远程资产(例如:通过Firefox浏览器访问防火墙的网页,通过Navicat工具访问MySQL数据库。)时,是无法通过运维审计系统直接完成的。这时需要一台Windows机器,用户通过运维审计系统登录这台Windows机器,通过其上的客户端,访问目标资产。这台Windows机器被称作应用发布服务器。
被运维审计系统发布出来的应用发布服务器上的客户端,被称为远程客户端。用户可以通过运维审计系统访问这些客户端资产。远程客户端的种类是丰富多彩的,甚至Chrome浏览器也可以被称为一个客户端。远程客户端在应用发布服务器上一定要是可执行的文件。
为了访问应用系统和数据库资产,运维审计系统需要建立与应用发布服务器的连接。
| 参数 | 说明 |
|---|---|
| 地址 | 应用发布服务器的IP地址。 |
| 管理员帐户 | 应用发布服务器上的管理员帐号。 |
| 管理员密码 / 确认密码 | 管理员帐号对应的密码。 |
运维审计系统上的不同用户在访问应用发布服务器时,需要有自己一套独立的环境。运维审计系统默认会在用户在首次使用应用发布服务器时,将该用户的帐号、密码同步到应用发布服务器上,帐号使用用户同名帐号,密码使用运维审计系统随机生成的密码。当用户在访问远程客户端,打开应用发布服务器时,使用同步的帐号进行登录。
自动同步选项包括同步和不同步,缺省为同步。当选择不同步时,运维审计系统在用户在首次使用应用发布服务器时,不会将该用户的帐号同步到应用发布服务器上。当有远程客户端需要运维审计系统同名帐号登录,访问会提示帐号登录失败。
添加远程客户端、修改远程客户端的启动参数。
RemoteAPP
运维审计系统远程客户端调用的一种方式,与普通方式调用的远程客户端相比,RemoteAPP方式中打开的客户端不包含Windows背景,标题栏以应用的标题栏显示而不是远程桌面会话的标题栏显示,更像是本地客户端的打开方式。推荐远程客户端使用RemoteAPP方式。
代填脚本
运维审计系统访问的应用发布资产通常有登录框,需要登录才能进行操作。通过管理员配置代填脚本,运维审计系统可以实现登录框内容的代填,进行登录操作。
管理员需要通过运维审计系统的远程客户端页面,将运维审计系统和远程客户端进行关联。
| 参数 | 说明 |
|---|---|
| 名称 | 输入远程客户端的名称。 |
| 执行帐号 | 使用什么帐号登录应用发布服务器。 同用户帐号:以登录运维审计系统的相同帐号登录应用发布服务器。 手工指定:指定一个帐号,使用当前远程客户端时都通过指定帐号登录。 |
| RemoteAPP | 远程客户端是否使用RemoteAPP方式,如果不使用,则通过普通方式打开。 |
| 代填脚本 | 选择代填脚本。 |
管理员如果希望运维审计系统在登录CS远程客户端时,自动代填登录框内容,可以配置CS代填脚本。不同的CS远程客户端对应着不同的CS代填脚本。
Console控制台用于管理员完成少量运维审计系统 Web界面上不能完成的配置操作。
Console的登录请参考登录运维审计系统的Console。为保障运维审计系统的安全性,管理员登录运维审计系统的Console后只能看到固定的控制台菜单界面并进行相关操作。
系统管理员可以通过该操作,将HA拆成单独的两台运维审计系统。仅当部署了HA的情况下,登录Console控制台时显示该菜单。
需要在主节点和备节点上分别执行拆除HA,建议先拆除备节点,再拆除主节点,以防止拆除过程中自动进行主从切换。
系统管理员可以通过该操作,对运维审计系统的各种网络配置进行调整,实现配置网口、路由、网口绑定、默认网关、主机名域名等功能。
1. GE0/0 2. GE0/1 ...
Network Configuration 1. IP Address : 10.10.33.18 2. Netmask : 255.255.255.0 3. IPV6 Address : 3. DNS1 : 192.168.8.8 4. DNS2 :
0. Return
1. 10.10.34.0/24,10.10.32.1 2. 10.10.35.0/24,10.10.32.1 ...
ip route命令的回显,例如:
default via 10.10.32.1 dev GE0/0 proto static metric 102 1.1.1.0/24 dev virbr0 proto kernel scope link src 1.1.1.1 10.10.32.1 dev GE0/0 proto static scope link metric 102 10.10.33.0/24 dev GE0/0 proto kernel scope link src 10.10.33.18 metric 102 10.10.34.0/24 via 10.10.32.1 dev GE0/0 10.10.35.0/24 via 10.10.32.1 dev GE0/0
Device status:
1. Device: bond-net01 Status: UP Bond: yes 2. Device: bond-slave-GE0/0 Status: UP Bond: net01 3. Device: bond-slave-GE0/1 Status: UP Bond: net01 4. Device: GE0/0 Status: UP 0. Return
Bonding(绑定)是一种Linux系统下的网口绑定技术,可以把服务器上多个物理网口在系统内部抽象(绑定)成一个逻辑上的网口,从而达到提升网络吞吐量、实现网络冗余、负载等功能的目的。
在运维审计系统控制台中可以使用Device Bonding菜单中的功能,绑定或解绑网口。
Please input bond name: net01
| 序号 | 模式编号 | 模式名称 | 说明 |
|---|---|---|---|
| 1 | bond0 |
balance-rr |
平衡轮循策略。平衡负载模式,每块网卡轮询发包,有自动备援,但需要配置交换机。 |
| 2 | bond1 |
active-backup |
主-备份策略。自动备援模式,其中一条线若断线,其他线路将会自动备援。 |
| 3 | bond2 |
balance-xor |
平衡策略。基于指定的传输Hash策略传输数据包。 |
| 4 | bond3 |
broadcast |
广播策略。在每个slave接口上传输每个数据包,提供容错能力。 |
| 5 | bond4 |
802.3ad |
IEEE 802.3ad 动态链接聚合策略。创建一个聚合组,它们共享同样的速率和双工设定。根据802.3ad规范将多个slave工作在同一个激活的聚合体下。 |
| 6 | bond5 |
balance-tlb |
适配器传输负载均衡策略。在每个slave上根据当前的负载(根据速度计算)分配外出流量。 |
| 7 | bond6 |
balance-alb |
适配器适应性负载均衡策略。平衡负载模式,有自动备援,不必需要配置交换机,通过ARP协商实现接收负载均衡。 |
1. GE0/0 2. GE0/1 Please input bond device (example 1,2): 1,2
Device Bonding:
1. bond-net01 A. Add Bonding 0. Return Enter selection: 1 Are you sure to delete bond name: net01?[y/n] y
一台运维审计系统上默认网关只能设置一个,对一个网口设置默认网关,将清空其他网口上设置默认网关。一般只需要对业务网口设置默认网关。
Default Gateway:
1. Gateway: 10.10.32.1 Dev: GE0/0
0. Return
1: bond-net01 2: GE0/0
Please input gateway dev: 2
Current Gateway: 10.10.32.1 Current Gateway Device: GE0/0 1: bond-net01 2: GE0/0 Please input gateway dev: 2 Please input new gateway: 10.10.33.1 Config gateway, please wait Restart network to make new gateway effective?[y/n] y
仅当为网口配置了IPv6地址时需要配置IPv6默认网关。
一台运维审计系统上默认网关只能设置一个,对一个网口设置默认网关,将清空其他网口上设置默认网关。一般只需要对业务网口设置默认网关。
Default IPV6 Gateway:
1. IPV6 Gateway: fe80::3a22:d6ff:fe71:db1 Dev: GE0/0
0. Return
1: bond-net01 2: GE0/0
Please input gateway dev: 2
Current Gateway: fe80::3a22:d6ff:fe71:db1 Current Gateway Device: GE0/0 1: bond-net01 2: GE0/0 Please input ipv6 gateway dev: 2 Please input new ipv6 gateway: fe80::3a22:d6ff:fe71:db2 Config gateway, please wait Restart network to make new gateway effective?[y/n] y
系统管理员可以通过该操作,查看并修改主机名和域名。
此处的主机名仅用于标识运维审计系统所属节点的名称,一般不需要修改。部署HA时建议将不同运维审计系统修改成不同的主机名,从而便于对HA中的不同主机进行区分。
仅当运维审计系统为集群部署时,Console控制台才会显示集群和NTP服务器的配置菜单,可以查看集群状态并重置NTP服务器。
本节指导用户在控制台进行集群相关操作,包括查看集群状态及重置NTP服务器。
当管理员需要允许或禁止用户使用SSH登录运维审计系统的Console控制台时,可以在控制台菜单中进行配置。
启用和禁用SSHD端口,表示允许或禁止用户使用SSH通过8022端口连接到运维审计系统并操作Console控制台。
该操作可以在Console控制台中操作,也可以在Web界面的的sshd外部访问参数中设置,两处配置同源。但Web界面中仅能进行配置,看不到SSHD的实际状态。而控制台中可以查看SSHD实际状态,同时修改配置。
系统管理员可以使用控制台提供的H3C工具采集日志和安装补丁包。
本节介绍如何在控制台采集运维审计系统的日志。
该功能与Web界面的日志采集的功能一致,但使用时请注意以下差异:
运维审计系统支持通过控制台界面安装qzp格式的系统升级包和补丁包,实现软件更新。
升级包是指从一个版本升级到另一个版本的软件包;补丁包是指一个版本内解决问题的软件包。升级包安装完成后需要手工重启系统,补丁包安装完成后不需要重启系统。
安装系统升级包和补丁包同时在Web和控制台下支持,请根据不同的部署场景选择安装方式:
本节介绍如何在运维审计系统上安装zip格式的特殊补丁包。
对于HA,请先通过VIP登录Web开启维护模式;然后通过实IP登录主节点的控制台安装补丁;再通过实IP登录备节点的控制台安装补丁;最后通过VIP登录Web关闭维护模式。
本节介绍如何恢复出厂设置。
恢复出厂设置,将清除当前的所有配置信息(包括用户、资产、权限和系统设置)并重启设备。
集群部署时,如果要恢复出厂设置,请先在主节点上开启维护模式,然后执行恢复操作,结束后在主节点上关闭维护模式。
当超级管理员admin丢失密码无法登录时,可以通过该功能重置admin帐号的密码、角色、身份验证方式、手机号、状态。
如admin帐号被其他超级管理员修改为了其他角色,重置后会重新变为超级管理员。但必须登录Web界面,完成修改密码并重新登录,admin的用户角色才能正常显示为超级管理员。
系统管理员可以使用Console菜单提供的系统工具进行网络调试操作。
发送ICMP包给指定IP地址,检查运维审计系统和目标地址之间的连通情况,相当于在Linux下执行ping命令。该操作要求目的IP地址的防火墙入站规则中允许ICMP回显。操作回显过程中可以使用Ctrl+C中断操作。
跟踪从运维审计系统到目标地址之间的路由,会显示出经过的各层路由,相当于在Linux下执行traceroute命令。操作回显过程中可以使用Ctrl+C中断操作。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
售前咨询
售后咨询
人工在线咨询
