無影雲電腦如何進行日誌審計 - Elastic Desktop Service

無影雲電腦企業版提供豐富的日誌查詢能力、錄屏審計能力和監控警示功能。您可以隨時查詢關於管理員操作、終端使用者操作或檔案傳輸的詳細日誌，可以藉助錄屏審計能力來記錄終端使用者在雲電腦上的操作過程並隨時回看，也可以藉助各類監控頁面和圖表瞭解雲電腦的健全狀態。

01 動作記錄

動作記錄可以協助您監控並記錄管理員和終端使用者的操作，其中管理員動作記錄記錄了通過控制台、OpenAPI等對雲電腦進行訪問和使用的行為；使用者動作記錄記錄了終端使用者開機、關機、重啟、重設、串連、斷連等行為。動作記錄為您進行安全分析、資源變更行為追蹤、行為合規性審計等操作提供了有效依據。

1.1 管理員動作記錄

管理員動作記錄功能基於阿里雲Action Trail（ActionTrail）服務，可以協助您監控並記錄阿里雲帳號的活動，以便進行安全分析、資源變更行為追蹤、行為合規性審計等操作。

預設狀態：開啟（不可關閉）
配置責任：客戶
功能費用：免費
依賴產品：無
條件限制：無
參考文檔：查看管理員動作記錄

配置或使用方法

登入無影雲電腦企業版控制台。
在左側導覽列，選擇安全與審計 > 動作記錄。
在頂部功能表列左上方處選擇目標地區。
在管理員動作記錄頁簽上，根據需要設定查詢條件和查詢時間段，並單擊表徵圖進行查詢。
- 查詢條件：支援按讀寫類型、關聯資源類型、是否敏感操作、事件名稱和操作者名稱查詢。
- 查詢時間段：預設顯示前7天（目前時間之前的7天）的動作記錄，您可以設定自訂的時間段。
查看事件資訊。
- 每條事件記錄會顯示事件發生時間、操作者名稱、事件名稱、關聯資源。
- 在操作列單擊查看事件詳情，可以在詳情面板上查看事件的詳細資料，包括API請求ID、事件來源、事件來源IP等。在事件記錄地區可以查看JSON格式的事件詳細資料。關於事件中各欄位的說明，請參見管控事件結構定義。

1.2 使用者動作記錄

使用者動作記錄記錄了終端使用者串連雲電腦、開關機等行為。您可以根據需要進行查詢，並審計是否存在異常操作。

預設狀態：開啟（不可關閉）
配置責任：客戶
功能費用：免費
依賴產品：無
條件限制：無
參考文檔：查看使用者動作記錄

配置或使用方法

登入無影雲電腦企業版控制台。
在左側導覽列，選擇安全與審計 > 動作記錄。
在頂部功能表列左上方處選擇目標地區。
在使用者動作記錄頁簽上，選擇或輸入查詢條件、查詢值、查詢時間段。
符合上述篩選條件的使用者操作記錄將顯示在下方表格中。動作記錄包括以下資訊：
- 事件資訊：對應操作行為，包括事件的ID、類型和發生時間。
- 使用者資訊：對應執行該操作的終端使用者，包括使用者名稱稱。
- 雲電腦資訊：對應被操作的雲電腦，包括雲電腦的ID及名稱，多台共用型雲電腦的ID及名稱，以及雲電腦所屬的辦公網路的ID及名稱。
- 用戶端資訊：對應被操作的用戶端，包括用戶端系統、用戶端版本和用戶端IP。
說明
如需匯出上述查詢結果，單擊右上方的匯出即可將其匯出為Excel檔案並自動下載至本地。

1.3 將使用者動作記錄投遞到SLS日誌庫

無影雲電腦企業版支援將終端使用者的動作記錄投遞到Log ServiceSLS的日誌庫，以便通過Log Service實現對終端使用者動作記錄的審計及監控管理，並針對可疑動作記錄及時發出警示，避免資訊泄露，以保證業務資料安全。

預設狀態：關閉
配置責任：客戶
功能費用：投遞使用者動作記錄的過程不收取費用。但投遞使用者動作記錄功能依賴於Log Service，使用者動作記錄投遞到Log Service後，Log Service會收取儲存日誌的費用，費用詳情請參見計費概述。
依賴產品：Simple Log Service (SLS)
條件限制：無
參考文檔：將使用者動作記錄投遞到SLS日誌庫

配置或使用方法

登入無影雲電腦企業版控制台。
在左側導覽列，選擇安全與審計 > 動作記錄。
單擊使用者動作記錄頁簽，然後單擊右上方的投遞到SLS日誌庫。
（條件）首次使用該功能時，在彈出的無影雲電腦服務關聯角色對話方塊中單擊確定。
在投遞到SLS日誌庫面板中配置日誌庫，您可以新增一個日誌庫，也可以選擇一個現有的日誌庫。配置完畢後單擊確定。

1.4 檔案傳輸日誌

檔案傳輸日誌記錄了終端使用者在雲電腦和本地裝置之間傳輸檔案的詳細資料，包括通過剪貼簿傳輸和通過檔案傳輸模組傳輸。您可以根據需要進行查詢，並審計是否存在異常操作。

預設狀態：開啟（不可關閉）
配置責任：客戶
功能費用：免費
依賴產品：無
條件限制：無
參考文檔：查看檔案傳輸日誌

配置或使用方法

登入無影雲電腦企業版控制台。
在左側導覽列，選擇安全與審計 > 動作記錄。
在頂部功能表列左上方處選擇目標地區。
在檔案傳輸日誌頁簽上，選擇或輸入查詢條件、查詢值、查詢時間段。
符合上述篩選條件的檔案傳輸記錄將顯示在下方表格中。傳輸日誌包括使用者名稱、雲電腦名稱/ID、操作類型等檔案傳輸詳細資料。

02 錄屏審計

2.1 錄屏審計策略

根據企業的安全審計要求，您可能需要審計雲電腦上所執行的操作。藉助雲電腦策略中的錄屏審計管控規則（公測），您可以將雲電腦上的動作記錄為視頻，錄製後也可以隨時回看這些視頻。

重要

錄屏會涉及審計對象的資料隱私，請務必確保已獲得審計對象的授權。

預設狀態：關閉
配置責任：客戶
功能費用：
- 功能使用費用：本功能屬於增值服務，目前處於公測階段，公測期間免費使用。公測結束後開始收費，計費相關說明會提前發布公告，屆時請以公告為準。
- 其他相關費用：錄屏視頻僅支援儲存到OSS中，系統自動為您建立一個OSS Bucket，您需要支付視頻儲存空間的費用。具體計費資訊，請參見OSS計費概述。
依賴產品：無
條件限制：
錄屏審計管控僅適用於同時滿足以下全部條件的雲電腦：
- 採用ASP協議。詳細資料，請參見ASP協議。
- 作業系統為Windows或Linux（Linux Ubuntu 20.04）。
- 雲電腦鏡像為0.1.0或以上版本的系統鏡像，或者基於此系統鏡像建立的自訂鏡像。
錄屏視頻預設儲存在當前地區的OSS Bucket中，若您在雲電腦上使用VPN相關軟體，為確保錄屏檔案上傳成功，請將*.aliyuncs.com添加到白名單中。
參考文檔：審計相關規則

配置或使用方法

登入無影雲電腦企業版控制台。
在左側導覽列，選擇營運管理 > 策略。
在策略頁面上單擊建立策略。
在建立策略頁面上按照頁面提示填寫策略名稱稱，根據需要修改策略配置，並單擊確定。
策略建立完成後，您可以在策略頁面的列表中查看建立的策略。

在錄屏審計管控地區開啟錄屏審計開關，閱讀錄屏審計功能使用須知，並單擊我已閱讀，並同意開啟，然後完成以下配置。

配置項	說明
錄屏類型	請選擇一種錄屏類型：全程錄屏：從終端使用者成功串連雲電腦到中斷連線雲電腦的全過程均錄製。間隔錄屏：僅在您指定的時間段錄製。若終端使用者在結束時間之前中斷連線，則立即結束錄製。若選擇此項，則需要設定間隔錄屏時間。使用者操作錄屏：若選擇此項，則需要在使用者操作錄屏選項地區選取項目錄製觸發條件，支援多選。雲電腦與本地電腦進行檔案雙向上傳、下載錄屏：雲電腦與運行雲電腦的本地裝置之間出現檔案上傳或下載操作時觸發錄製。執行命令錄屏：使用者使用鍵盤、滑鼠或手繪板等裝置輸入內容即觸發錄製。說明達到觸發條件時立即開始錄製，當觸發條件不再滿足時，並不會立即停止錄製，而是會延遲10分鐘。在此10分鐘內，若始終沒有再次達到觸發條件，則10分鐘後停止錄製；若再次達到觸發條件，則以此時間點為起點繼續延遲10分鐘。監聽會話生命週期錄屏：從會話建立成功開始到會話登出的全過程均錄製。推薦RPA情境使用此選項。說明會話生命週期錄屏與全程錄屏的區別在於，全程錄屏在終端使用者中斷連線的時刻終止，而會話生命週期錄屏在會話登出的時刻終止，會話登出的條件是終端使用者對雲電腦執行關機操作，或者雲電腦中斷連線後達到預先設定的會話斷連保留時間長度。
錄製雲電腦聲音	根據需要選擇僅錄製畫面不錄製聲音或音畫同期錄製。
錄屏映像幀率	支援的可選映像幀率：2 FPS（幀/秒）、5 FPS、10 FPS和15 FPS。幀率越高，視頻越流暢，所需的儲存空間也越大。請合理選擇幀率，最佳化您的儲存空間。
錄屏檔案閱覽時間長度	支援的可選時間長度有：10分鐘、20分鐘、30分鐘或60分鐘。錄屏檔案按照您設定的閱覽時間長度自動切分並上傳至儲存空間，檔案達到300 MB時優先變換。
錄屏視頻儲存	錄屏視頻預設儲存在當前地區的OSS Bucket中，會產生OSS費用。具體計費資訊，請參見計費概述。重要若您在雲電腦上使用VPN相關軟體，為確保錄屏檔案上傳成功，請將`*.aliyuncs.com`添加到白名單中。錄屏結束後，您可以在控制台上查看或下載錄屏視頻。具體操作，請參見查看或下載錄屏檔案。
保留時間	錄屏視頻預設在OSS Bucket中保留15天，支援設定保留時間的範圍為：1~180天。警告錄屏視頻會按照您設定的保留時間儲存在當前地區的OSS Bucket中，到期後錄屏視頻將從OSS Bucket和控制台的錄屏記錄頁簽永久刪除。

03 監控與警示

監控警示功能可以全方位地監控雲電腦的分布情況、雲電腦資源使用方式、會話串連情況以及網路健全狀態等，協助您全盤瞭解資源健康情況，及時發現並解決問題，以保證業務順暢運行。

3.1 配置警示規則

監控功能可以協助您全面瞭解雲電腦資源的使用方式和會話的串連情況，警示功能則可以結合監控指標上報相應資源在使用過程中的問題，以便您及時發現並解決問題，保證業務順暢運行。

警示規則用於規定哪些資料指標滿足何種條件後觸發警示，以及警示的層級、生效時間等。

預設狀態：關閉
配置責任：客戶
功能費用：免費
依賴產品：無
條件限制：無
參考文檔：配置警示規則

配置或使用方法

在左側導覽列，選擇監控與警示 > 警示服務。
單擊警示規則頁簽，然後單擊建立警示規則。

在建立警示規則面板上配置以下資訊，並單擊確定。

配置項	說明	樣本值
警示規則名稱	警示規則的名稱。	CPU佔用警示
警示來源	警示資訊來源，預設為雲電腦。	雲電腦
關聯範圍	全部資源：對全部雲電腦執行該規則。雲電腦執行個體：對您選擇的雲電腦執行該規則。	全部資源
指標類型	單指標：僅監控一個指標，但可以為該指標制定多個不同層級的警示規則。多指標：同時監控多個指標，只能為所有指標制定同一種層級的警示規則，但需要制定複合觸發條件。	單指標
生效時間	警示規則的生效時間段。	08:00-09:59
通道沉默周期	用於避免在一定時間段內由於持續觸發警示規則而產生連續警示。如果在該周期結束後，仍然觸發警示規則，則重新發送警示資訊。	30分鐘
警示組	接收警示資訊的聯絡組。	營運一組
單指標規則相關配置項
警示指標	需要監控的指標。	當前消耗的總CPU百分比
警示層級監控指標閾值	針對警示指標制定的各個層級的警示觸發條件。至少要制定一個層級的警示觸發條件。	普通平均值連續3個周期>80%
多指標規則相關配置項
警示層級	不同層級的警示對應的警示資訊發送方式不同：緊急：電話+簡訊+郵件+DingTalk 警告：簡訊+郵件+DingTalk 普通：郵件+DingTalk	普通
警示層級監控指標閾值	針對各個警示指標的警示觸發條件。最多可設定10個條件。	磁碟使用率平均值>80% 記憶體使用量率平均值>60%
指標關係	當所有指標符合條件時則警示：針對各個指標的觸發條件之間是“且”的關係，即需要全部滿足才會觸發警示。當任意指標符合條件時則警示：針對各個指標的觸發條件之間是“或”的關係，即只要滿足任一條件就會觸發警示。	當任意指標符合條件時則警示
警示所要達到的閾值次數	需要在多少個連續周期內達到上述複合觸發條件才會觸發警示。	連續3個周期

3.2 監控大盤

監控大盤展示雲電腦相關的整體資料指標，協助您從全域視角瞭解雲電腦的使用方式、分布情況和雲電腦資源的健康情況。

預設狀態：開啟（不可關閉）
配置責任：阿里雲
功能費用：免費
依賴產品：無
條件限制：無
參考文檔：查看監控大盤

配置或使用方法

登入無影雲電腦企業版控制台。
在左側導覽列，選擇監控與警示 > 監控大盤。
在監控頁面，可以總覽雲電腦的各方面指標，包括雲電腦數量、雲電腦狀態、登入耗時、雲電腦網路延遲等。
說明
您可以在監控頁面的右上方單擊表徵圖或表徵圖查看警示資訊。在警示對話方塊的右上方單擊查看更多警示可以進入警示記錄頁面查看警示詳情。

3.3 會話監控

阿里雲為無影配備了會話監控功能。作為管理員，您可以隨時查看終端使用者的雲電腦會話情況並管理會話，有需要時還可以對終端使用者進行遠程協助。

預設狀態：開啟（不可關閉）
配置責任：阿里雲
功能費用：免費
依賴產品：無
條件限制：無
參考文檔：查看會話監控資訊

配置或使用方法

登入無影雲電腦企業版控制台。
在左側導覽列，選擇監控與警示 > 會話監控。
在頂部功能表列左上方處選擇目標地區。

在會話監控頁面，您可以查看終端使用者的會話串連資訊，並按需使用以下功能。

功能	說明	操作
匯出	將會話記錄的詳細資料匯出為檔案。	單擊頁面右上方的匯出。
中斷連線	斷開已串連的使用者會話。斷開後，終端使用者若重新串連會話，仍可進入原來的會話。	選擇一個或多個會話，單擊會話列表底部的中斷連線，並在確認對話方塊中單擊確認。
登出會話	登出使用者會話，未儲存的資料都將銷毀。登出後，終端使用者重新串連會話後，進入新的會話。	選擇一個或多個使用者，單擊會話列表底部的會話登出，並在確認對話方塊中單擊確認。
發送訊息	向會話中的終端使用者發送訊息。	選擇一個或者多個使用者，單擊會話列表底部的發送訊息，並輸入主題和訊息，然後單擊確定。訊息發送後，您會在控制台收到訊息已成功發送的通知；接收訊息的雲電腦會收到並展示您發送的訊息內容。
應用列表	查看和管理終端使用者的應用和進程。	在目標會話的操作列單擊應用列表，可以查看終端使用者在雲電腦上啟動並執行全部應用資訊，包括應用程式名稱、運行狀態等。如需關閉應用或進程，您可以在應用列表面板上，單擊應用操作列的結束應用或進程操作列的終止進程。
遠程協助	藉助遠程協助，您可以遠端控制終端使用者的雲電腦，協助終端使用者快速定位並解決問題。管理員或終端使用者均可發起遠程協助。關於該功能的詳細資料，請參見協作相關規則。	管理員發起遠程協助單擊目標使用者操作列的遠程協助，並等待終端使用者同意。終端使用者發起遠程協助如果終端使用者發起遠程協助，您可以在相應會話的使用者請求協助記錄列查看到表徵圖，此時您需要單擊操作列的遠程協助，然後按照頁面提示接受請求，與終端使用者完成協助相關的操作。說明出於資料安全合規考慮，協助者和被協助者在使用遠程協助時的相關行為將會被記錄在日誌中，以備隨時審計。如需查看審計日誌，請參見查看動作記錄。

會話監控頁面展示的指標及含義如下：

串連使用者：串連該雲電腦會話的使用者的名稱。
工作階段狀態：會話目前的串連狀態，包括已串連和已斷開。
最近一次開始連線時間：使用者最近一次串連雲電腦的時間。
使用者請求協助記錄：使用者從用戶端發起遠程協助的申請記錄。
最近一次串連時間長度：使用者最近一次從開始串連雲電腦直到斷開雲電腦會話串連的時間長度。
累計空閑時間長度：在您選擇的時間範圍內，會話串連期間的累計空閑（即沒有鍵盤或滑鼠輸入）時間長度。
累計串連時間長度：在您選擇的時間範圍內的會話累計串連時間長度。
雲電腦ID/名稱：會話相關的雲電腦ID和名稱。
雲電腦購買方式：雲電腦的購買方式，包括按需購買、按月購買-不限時間長度、按月購買-120/250小時。
辦公網路ID/名稱：會話相關的雲電腦所屬的辦公網路ID和名稱。
作業系統：雲電腦的作業系統。
終端類型：使用者使用的無影終端類型。
終端IP：使用者使用的無影終端的本地IP地址。
軟體版本：使用者使用的無影終端版本。

3.4 即時監控

說明

阿里雲為無影配置即時監控功能，即時監控提供終端使用者登入雲電腦的即時資料（例如使用者線上數量、線上時間長度前十的使用者、平均登入時間和雲電腦網路延遲分布情況）以及相關故障預警資訊，以支援您快速準確定位和迅速處理故障，避免因資源、網路問題或者外部操作原因造成不必要的損失。

預設狀態：開啟（不可關閉）
配置責任：阿里雲
功能費用：免費
依賴產品：無
條件限制：無
參考文檔：查看即時監控

配置或使用方法

在左側導覽列，選擇監控與警示 > 即時監控。
在即時監控頁面，可以查看雲電腦終端使用者登入雲電腦的資料、雲電腦網路延遲和故障預警等資訊。

3.5 雲電腦監控

監控圖表能直觀地展現雲電腦在指定時間段內各監控指標的變化情況。

說明

阿里雲負責提供監控圖表的功能，支援您基於自身需求對指標的變化進行監測並做出相應判斷。

預設狀態：開啟（不可關閉）
配置責任：阿里雲
功能費用：免費
依賴產品：無
條件限制：無
參考文檔：查看雲電腦監控資訊

配置或使用方法

登入無影雲電腦企業版控制台。
在左側導覽列，選擇監控與警示 > 雲電腦資源監控。
在頂部功能表列左上方處選擇目標地區。
在雲電腦資源監控頁面，單擊雲電腦資源、共用型雲電腦資源或者資源TOP 50頁簽，然後在目標雲電腦的操作列單擊監控圖表。
在開啟的監控詳情頁面，您可以選擇預設的時間段或自訂時間段，並查看當前雲電腦在所選時間段內各監控指標的圖表，包括CPU使用率、記憶體使用量率、磁碟相關參數等。