文档中心 > 问题检索
问题检索

最近更新时间:2021-08-19

审计管理员可以按不同的检索方式对会话审计记录进行检索,从而快速找到期望的审计记录并进行问题定位。

在审计记录中检索问题,有以下4种方式:直接检索、按资产检索、按用户检索、按会话操作检索。


操作步骤

  1. 选择“工作台 > 审计 > 问题检索”。

    3.6.5.1-1.png

     

  2. 在上方选择检索的时间范围,设置起始时间点和结束时间点。不选择则默认时间范围为7天内。

  3. 选择要使用的问题检索方式。

    • 直接检索:不设置其他检索筛选条件,直接检索当前设置的时间范围内的所有会话的审计记录。

    • 按资产检索:仅检索具体的一条或多条资产相关的会话审计记录。请勾选待检索的具体资产。

    • 按用户检索:仅检索指定用户相关的会话审计记录。请勾选待检索的用户。

    • 按会话操作检索:仅检索包含某个具体操作的会话审计记录。单击按会话操作检索之后,会继续弹出对话框并进行选择。在下拉菜单中选择对应的选项,并在对话框中填入待筛选的值,单击“确定”。

    选项

    说明

    字符会话

    输入字符终端上执行的命令,例如ls、cd。

    图形会话

    输入以下内容其中的一条或多条:

    窗口标题:在会话的图形界面上打开的窗口的标题,例如库、任务管理器、Firefox。

    URL:B/S应用系统会话中,在浏览器窗口中访问的URL地址。例如www.example.com、192.168.1.1。

    模拟操作:用户进行的鼠标或键盘的按键操作,包含在各种对话框、终端、编辑器中键入的文字内容。例如:、cd D:\boot。

    数据库会话

    输入SQL语句,例如select。

    文件传输

    输入文件路径,例如/root。

    tn5250会话

    输入Menu/Text/功能键/提交数据,例如User tasks。

     


    说明:

    • 在输入一条命令或其他内容后,需要按回车键,将该条命令生成一个筛选标签,此时可以单击x删除对应的标签。可以插入多个筛选标签。

    • 所有内容都输入完之后,可以单击04-保存.png保存一个检索模板,这样会在窗口的最上方直接显示各个模板。可以直接单击某个模板名称选择套用该模板,单击02-删除.png删除该模板,或者单击05-叉号.png清空输入内容。

    • 检索条件设置好之后,可以单击下方的“指定资产检索”,设置同时启用资产检索作为第二重筛选条件;也可以直接单击“直接检索”,只按会话操作来检索。



  4. 查看检索结果。

    检索结果中,每行表示一条检索出来的会话。采用不同的检索方式时,检索结果的各列内容会有少许差异,具体如下:

    显示项

    说明

    会话时间

    会话开始的时间,例如2018-08-06   19:24:19。

    发起用户

    通过堡垒机建立该会话的堡垒机用户的用户名及连接到资产的主机的IP地址,例如admin(10.10.10.10)。

    连接资产

    会话连接的资产名称及IP地址,例如CentOS7(192.168.1.10)。

    操作信息

    使用按会话操作检索时不会显示。另外,根据不同的会话类型,显示的内容会不一样:

    窗口标题数:仅图形会话时显示。用户打开的不同窗口的数量。仅有通过mstsc方式启动的,且使用Windows经典主题的图形会话,支持记录应用窗口的标题;只

    有IE浏览器支持记录标题,其他浏览器不支持。当不支持记录标题时,窗口标题数量始终显示为0。

    执行命令数:仅字符会话时显示。

    用户执行的命令的数量,括号前的数字表示命令总数,括号内的数字表示敏感命令的数量。敏感命令是在高危操作中定义的高危命令,当部署的堡垒机未启用高危操作功能时该数字始终为0。

    文件传输结果:文件传输会话时会显示。显示为文件传输操作的结果,例如下载文件成功、上传文件失败、下载文件无权访问、新建文件失败等。

    匹配结果

    仅当按会话操作检索时会显示,显示匹配上的操作的数量,例如已匹配5条。并且在该条记录的下方会显示详细的匹配情况,匹配上的内容会用颜色标出。

    更多

    用户可以执行的更多操作,包含详情、回放、下载,在线会话还会显示实时和切断。具体含义请参考查看审计结果(操作类)中的介绍。

    TN5250会话只会显示详情、回放和切断三个操作。

     


    说明: 搜索结果最多支持显示最近的一万条数据。