全部产品
Search
文档中心

运维安全中心(堡垒机):归档审计日志到日志服务

更新时间:Aug 31, 2023

运维安全中心(堡垒机)支持将审计日志(即运维记录)归档到日志服务 SLS(Simple Log Service)。审计日志归档配置完成后,堡垒机在接收到运维记录时,即可自动将日志转存到日志服务中。本文介绍如何将审计日志归档到日志服务。

背景信息

审计日志即堡垒机用户使用堡垒机的操作记录,包括会话命令审计和操作日志。堡垒机默认仅提供180天日志存储服务,如果需要长期保存审计日志,您可以将审计日志归档到SLS。将审计日志归档到SLS后,您可以对审计日志进行查询和分析,自定义日志保存时间,同时支持将日志通过SLS转发到Splunk等第三方平台。更多信息,请参见查询与分析阿里云日志服务Splunk Add-on

说明

将审计日志归档到SLS后,存储在堡垒机的审计日志不受影响,您仍可以在会话审计页面,查看审计日志。更多信息,请参见搜索和查看会话

操作步骤

  1. 登录日志服务控制台

  2. 根据页面提示,开通日志服务。

  3. 访问日志审计服务页面。

  4. 在左侧导航栏,选择云产品接入 > 全局配置,并参考以下步骤配置审计信息。

    1. 中心项目Project所在区域下拉列表中,选择日志中心化存储的目标地域。

    2. 在云产品列表中,打开堡垒机操作日志开关并设置存储方式中的存储时间。全局配置

  5. 查看堡垒机审计日志。

    1. 在左侧导航栏,单击审计查询图标。

    2. 选择中心化 > 堡垒机,查看审计日志。

      下表是堡垒机审计日志转存到日志服务 SLS(Simple Log Service)后的日志字段详情,供您参考。

    3. SLS日志字段

      字段说明

      __topic__

      日志主题,固定为bastionhost。

      owner_id

      阿里云账号ID。

      region

      堡垒机实例所在地域。

      content

      字符命令、文件传输等操作的内容。

      event_type

      事件类型。包括:

      • cmd.Command:命令字符。

      • cmd.Command.policy:被控制策略处理过的命令。

      • graph.Text:图形文字。

      • graph.Keyboard:图形键盘事件。

      • file.Upload:上传文件。

      • file.Download:下载文件。

      • file.Rename:重命名文件。

      • file.Delete:删除文件。

      • file.DeleteDir:删除目录。

      • file.CreateDir:创建目录。

      • login.CSLogin:用户CS登录。

      • Session.session:一个会话。

      instance_id

      堡垒机实例ID。

      resource_address

      运维的资产IP地址。

      resource_name

      运维的资产名称。

      result

      字符命令、文件传输等操作的结果。

      session_id

      会话ID,会话唯一标识。

      user_client_ip

      用户来源IP地址,即用户访问堡垒机使用的IP。

      user_id

      堡垒机用户ID,即用户唯一标识。

      user_name

      堡垒机用户名称。