操作场景
运维人员通过运维安全中心(堡垒机)访问资源,会生成对应的历史会话记录,管理人员可通过会话审计功能,检查运维人员是否存在违规操作。
说明:
字符会话是指运维人员通过 SSH 协议访问 Linux 主机所产生的会话。
操作步骤
1. 登录 运维安全中心(堡垒机)控制台。
2. 在左侧导航栏中,选择操作审计 > 会话记录。
3. 在会话记录页面,单击字符会话 Tab 栏。
4. 在字符会话页,将显示运维人员通过 SSH 协议访问 Linux 主机所产生的会话。包括资产 IP、来源 IP、资产类型、资产账号、开始时间/结束时间、资产名称、用户名/姓名、会话时长/会话大小、操作命令/阻断命令、状态、实时带宽等。
说明:
实时带宽:当多个会话共享同一网络连接时,网络层面无法区分不同会话,所有流量将被统计到首个连接上。
5. 在字符会话页面,单击对应会话右侧的详情,可打开会话详情页面。
6. 在会话详情页面,可查看会话的基本会话信息、键盘操作、剪切板操作和文件操作记录。
7. 在字符会话页面,单击对应会话右侧的回放,可在新的页面回放历史会话,还原用户真实操作行为。
8. 在历史会话回放页面,可在搜索框对操作命令进行搜索,并定位用户的操作命令。
9. 在历史会话回放页面左下角,可切换播放速度。
