可疑操作记录执行的shell命令,您可以对操作进行筛选,也可以自定义规则发现可疑操作。
注意:该功能需要安装服务器安全监测系统的bash插件,如需启用请联系服务经理。
查看详情
单击详情按钮,可以查看该条命令执行的日志详情。
审核
点击审核按钮,会出现“审核通过”和“审核不通过”两个选项,方便审计人员标记操作。选择后标记将会显示在事件列表中。
审计规则配置
审计规则包含用户自定义规则和系统规则两部分,系统规则为系统内置的审计规则,可选择是否开启使用,自定义规则由用户自行创建,并可进行编辑和删除等操作,具体如下:
| 内容 | 规则条件 | 规则范围 |
|---|
| 说明 | 审计规则条件内容由以下三个条件组成:
规则名:规则的名称
正则表达式:用来匹配命令使用的正则表达式,仅支持填写一个
危险程度:用于标识规则的危险程度,有高危、中危、低危三个选项 | 规则范围是用户自定义规则适用的范围,用户可以按照下面两种方式选择:
全部主机:所有安装Agent的主机
自定义范围:可以选择业务组,也可以选择多台主机 |
环境变量配置
当用户使用堡垒机登录时,配置环境变量名称,即可在告警列表中看到真实登录IP而非堡垒机IP。
环境变量配置条件说明如下:
登录IP:填写环境变量中记录真实访问IP的环境变量名
登录主机名:填写环境变量中记录真实访问主机的环境变量名
登录用户:填写环境变量中记录真实访问用户的环境变量名
导出
导出功能是用来将列表内的数据以自定义方式导出成数据文件供用户在系统外使用。导出方式有以下两种:
