碉堡堡垒机—运维操作审计员手册.docVIP

碉堡堡垒机 PAGE11 碉堡用户操作手册 ——运维操作审计员 北京维方通信息技术有限公司  目 录 TOC \o 1-3 \h \u  HYPERLINK \l _Toc22806 第一章 概述  PAGEREF _Toc22806 3  HYPERLINK \l _Toc9504 1.1 手册阅读附加说明  PAGEREF _Toc9504 3  HYPERLINK \l _Toc8404 1.2 适用版本  PAGEREF _Toc8404 3  HYPERLINK \l _Toc12078 第二章 对设备操作的审计  PAGEREF _Toc12078 3  HYPERLINK \l _Toc23792 2.1 图形会话的审计  PAGEREF _Toc23792 3  HYPERLINK \l _Toc29100 2.1.1图形会话记录内容详解  PAGEREF _Toc29100 4  HYPERLINK \l _Toc8225 2.1.2图形会话审计播放工具介绍  PAGEREF _Toc8225 5  HYPERLINK \l _Toc15027 2.1.3实时审计  PAGEREF _Toc15027 5  HYPERLINK \l _Toc30043 2.1.4切断实时会话  PAGEREF _Toc30043 6  HYPERLINK \l _Toc29118 2.1.5会话的筛选与查询  PAGEREF _Toc29118 7  HYPERLINK \l _Toc21809 2.1.6导出Excel  PAGEREF _Toc21809 7  HYPERLINK \l _Toc18416 2.2 字符会话的审计  PAGEREF _Toc18416 8  HYPERLINK \l _Toc25497 2.2.1字符会话记录内容详解  PAGEREF _Toc25497 8  HYPERLINK \l _Toc4959 2.2.2字符会话审计范例  PAGEREF _Toc4959 9  HYPERLINK \l _Toc8312 2.2.3已结束的字符会话的审计  PAGEREF _Toc8312 9  HYPERLINK \l _Toc30171 2.2.4如何监控活动的字符会话  PAGEREF _Toc30171 10  HYPERLINK \l _Toc18909 2.2.5如何中断活动的字符会话  PAGEREF _Toc18909 10  HYPERLINK \l _Toc13001 2.2.6字符会话的查询筛选  PAGEREF _Toc13001 11   概述 本手册为“碉堡堡垒机”（以下简称“碉堡”）运维操作审计员手册，可以作为运维操作审计员技术手册参考资料。 1.1 手册阅读附加说明 红色字体表示操作中的关键点，例如： 用户管理—添加用户—填写信息 意为：先点击“用户管理连接”，在出现的页面中再点击“添加用户连接”，在出现的页面中“填写信息”； 带下划线的文字 表示用户特别需要注意的内容，一般为注意事、提示和建议； 1.2 适用版本 本手册依据“碉堡内控堡垒主机”V1.0撰写，适用于所有1.0分支版本。 对设备操作的审计 审计管理员对目标设备操作的审计针对于所有用户对设备进行的访问、操作。 因用户对目标设备的操作分为图形方式和命令（字符）方式，所以审计管理员对各种操作的审计也分为图形会话审计和字符会话审计，而对于数据库会话进行单独审计。 2.1 图形会话的审计 审计管理员如何审计图形会话的、图形会话可以审计的相关内容有哪些？比如某个用户以图形方式在访问diaobao的一台目标设备，审计管理员要如何得知此用户的操作，用户的操作是否影响到目标设备的安全？ 下面我们通过对用户audit以图形方式访问一台linux目标设备的操作进行审计，以此为例来说明图形会话的审计。 2.1.1图形会话记录内容详解 查看范例之前运维操作审计员需要先了解图形会话记录的内容，下面将对图形会话的记录作详细的解述。 请运维操作审计员登录diaobao，打开审计管理—运维操作审计页面，见下图： 访问者：此次会话由那个IP来进行访问的 资源：被访问设备 审计节点：被访问者IP 协议|账号：用户访问目标设备所用到的访问方式和账号。 ssh：Li