运维安全中心(堡垒机)支持将审计日志(即运维记录)归档到日志服务 SLS(Simple Log Service)。审计日志归档配置完成后,堡垒机在接收到运维记录时,即可自动将日志转存到日志服务中。本文介绍如何将审计日志归档到日志服务。
背景信息
审计日志即堡垒机用户使用堡垒机的操作记录,包括会话命令审计和操作日志。堡垒机默认仅提供180天日志存储服务,如果需要长期保存审计日志,您可以将审计日志归档到SLS。将审计日志归档到SLS后,您可以对审计日志进行查询和分析,自定义日志保存时间,同时支持将日志通过SLS转发到Splunk等第三方平台。更多信息,请参见查询与分析或阿里云日志服务Splunk Add-on。
将审计日志归档到SLS后,存储在堡垒机的审计日志不受影响,您仍可以在会话审计页面,查看审计日志。更多信息,请参见搜索和查看会话。
操作步骤
登录日志服务控制台。
根据页面提示,开通日志服务。
访问日志审计服务页面。
在左侧导航栏,选择云产品接入 > 全局配置,并参考以下步骤配置审计信息。
在中心项目Project所在区域下拉列表中,选择日志中心化存储的目标地域。
在云产品列表中,打开堡垒机操作日志开关并设置存储方式中的存储时间。
查看堡垒机审计日志。
在左侧导航栏,单击图标。
选择中心化 > 堡垒机,查看审计日志。
下表是堡垒机审计日志转存到日志服务 SLS(Simple Log Service)后的日志字段详情,供您参考。
cmd.Command:命令字符。
cmd.Command.policy:被控制策略处理过的命令。
graph.Text:图形文字。
graph.Keyboard:图形键盘事件。
file.Upload:上传文件。
file.Download:下载文件。
file.Rename:重命名文件。
file.Delete:删除文件。
file.DeleteDir:删除目录。
file.CreateDir:创建目录。
login.CSLogin:用户CS登录。
Session.session:一个会话。
SLS日志字段
字段说明
__topic__
日志主题,固定为bastionhost。
owner_id
阿里云账号ID。
region
堡垒机实例所在地域。
content
字符命令、文件传输等操作的内容。
event_type
事件类型。包括:
instance_id
堡垒机实例ID。
resource_address
运维的资产IP地址。
resource_name
运维的资产名称。
result
字符命令、文件传输等操作的结果。
session_id
会话ID,会话唯一标识。
user_client_ip
用户来源IP地址,即用户访问堡垒机使用的IP。
user_id
堡垒机用户ID,即用户唯一标识。
user_name
堡垒机用户名称。