运维审计与日志
本节面向系统管理员(admin)。介绍 DCIM 系统中用于"安全追溯"的几类记录:系统日志(操作日志)、登录日志、操作审计(连接会话录像与命令),以及与之配套的在线会话管理。它们就像监控摄像头和门禁记录——平时不用管,一旦出了问题(比如某台服务器被误改、某个密码疑似泄露、有人异地登录),可以靠它们查清"谁、在什么时间、从哪个 IP、对哪台设备、做了什么"。
一、先搞懂几个名词
| 名词 | 通俗解释 |
|---|---|
| IP 地址 | 设备在网络里的"门牌号"。系统通过它判断一次操作是从哪台电脑、哪个网络发起的。 |
| 操作日志 / 系统日志 | 记录管理员(或客户)在系统里做过的"动作",比如新增了一台服务器、改了某个用户的规格、删了一条 IP。相当于系统的"行车记录仪"。 |
| 登录日志 | 专门记录"谁在什么时间、从哪个 IP、什么地区登录了系统"。相当于大门口的"门禁打卡记录"。 |
| 控制台 / Console | 直接连到设备屏幕去操作的通道。比如远程连到服务器的"显示器+键盘"(VNC),或远程登录交换机的命令行(SSH/Telnet)。 |
| 会话(Session) | 一次完整的连接过程。从"连上设备"到"断开"��算一次会话,期间敲的命令、看的画面都属于这次会话。 |
| 操作审计(连接审计) | 把每一次"连到设备控制台"的会话都录下来:谁连的、连的哪台、用什么协议、连了多久、敲了哪些命令,甚至可以回放画面。相当于给每次远程操作都装了一台"录像机"。 |
| SSH / Telnet | 两种远程登录设备命令行的方式。SSH 是加密的(更安全),Telnet 是明文的(老旧设备才用)。 |
| VNC / RDP | 两种远程"看屏幕、动鼠标"的方式,操作的是图形界面(像远程桌面)。 |
| BMC / IPMI | 服务器主板上一块独立的"小管家"芯片,即使服务器没开机,也能通过它远程开关机、看屏幕。查看或复制它的密码也会被记进日志。 |
| API(接口) | 系统对外开放的"自动对接通道"。第三方系统或脚本可以不经人工点击界面,直接通过它来调用系统功能。通过这种方式产生的操作,在日志里会带特殊标记。 |
提示:上面后三项是否在菜单里出现,由账号权限决定。如果你看不到某一项,多半是没有相应权限——例如登录日志属于"堡垒机(bastion,集中管理远程登录的安全网关)"相关权限,操作审计需要"会话录制"相关权限,在线会话管理需要"会话管理"相关权限。
二、系统日志(操作日志)
2.1 这是什么、用来干什么
2.2 在哪里、长什么样
| 列名 | 含义 | 说明 |
|---|---|---|
| 操作人 | 执行这次操作的账号名 | 管理员显示其登录账号名;客户端用户产生的记录显示为 Client;系统自身(无人触发)产生的记录显示为 System。若该动作是通过"API(接口)"方式发起的,账号名后会带 (API) 标记。 |
| IP 地址 | 操作来源的 IP,即从哪台机器发起的 | 用于判断是否为异常来源。 |
| 操作时间 | 操作发生的具体时间 | 显示为"年-月-日 时:分:秒",精确到秒。列表默认按时间从新到旧排序。 |
| 操作详情 | 这次操作的文字描述 | 例如"查看了某服务器密码""修改了某交换机"等。若该操作关联了具体设备/对象,详情后面会带一个可点击的链接(如"服务器 ID:123""交换机 ID:45""机柜 ID:…""用户 ID:…""规格 ID:…""用户组 ID:…""批次 ID:…"),点击可直接跳转到该对象的详情页。 |
行的颜色提示:操作详情里包含"失败"字样的记录会被标成"异常"底色(提示这是一次失败的操作),包含"成功"字样的会标成"成功"底色,方便一眼看出问题。
2.3 如何按条件查询
| 筛选项 | 怎么用 |
|---|---|
| 操作人 | 输入账号名的一部分即可模糊匹配(不必输全名)。 |
| IP 地址 | 输入 IP 的一部分模糊匹配,例如只输 192.168 就能查出该网段下的所有操作。 |
| 操作详情 | 输入关键词模糊匹配描述内容,例如查"密码""删除"等。 |
| 操作时间 | 可输入日期片段做模糊匹配(如只输某一天);也可指定一个开始/结束时间区间,只看某段时间内的操作。 |
1.
2.
3.
4.
提示:系统日志只能"查询 / 翻页 / 排序",界面不提供新增、修改、删除按钮——这正是审计日志的设计原则:只读、不可篡改,保证追溯证据的可信度。
📷 (界面截图待补充:系统日志列表上方的筛选区,展示操作人、IP地址、操作详情、时间区间等查询条件输入框)
2.4 关于敏感操作的特别说明
防刷机制:仅对"复制密码"这三类(复制服务器 / IPMI / 交换机密码)容易被连续触发的动作做去重——同一个人、同一台设备、同一动作、同一来源 IP,在一分钟内重复触发只记一条,避免日志被无意义地刷屏。其余动作(如各类"查看密码""打开远程通道")则每次都如实记录、不去重。
三、登录日志
3.1 这是什么、用来干什么
说明:登录日志只记录人工交互式登录(管理员或普通用户在登录页输入账号密码登录成功)。通过 API 令牌自动对接系统的访问不会写入登录日志(这类访问会另行计入对应 API 凭据的调用记录)。同时,登录失败的尝试不在本列表中。
3.2 在哪里、长什么样
| 列名 | 含义 | 说明 |
|---|---|---|
| 用户类型 | 登录者是"管理员"还是"普通用户" | 系统内部用 admin(管理员)/ user(普通用户)区分,列表中分别显示为中文"管理员""普通用户"。 |
| 用户名 | 登录所用的账号名 | —— |
| 登陆IP | 从哪个 IP 登录(界面文案为"登陆IP") | 用于识别来源是否异常。 |
| 地址 | 该 IP 解析出的地理位置 | 系统会根据登录 IP 自动推算大致的归属地(如某省某市),帮助判断是否为"异地登录"。若 IP 无法解析则可能为空。 |
| 操作时间 | 登录发生的时间 | 列表默认按时间从新到旧排序。 |
3.3 如何按条件查询
| 筛选项 | 怎么用 |
|---|---|
| 用户类型 | 下拉选择"管理员"或"用户",只看其中一类的登录记录。 |
| 用户名 | 输入账号名(或姓名)的一部分模糊匹配。 |
| 登陆IP | 输入 IP 的一部分模糊匹配。 |
| 地址 | 输入地区关键词模糊匹配归属地。 |
| 操作时间 | 可按日期片段模糊匹配,或指定开始/结束时间区间。 |
安全提示:如果发现某账号在短时间内从多个差异很大的地区/IP登录,或在非工作时间有登录记录,应重点关注,必要时及时修改该账号密码、�并到第五节的"在线会话管理"里强制其下线,再核查相关操作日志。
四、操作审计(连接会话)
4.1 这是什么、用来干什么
4.2 在哪里、长什么样
| 列名 | 含义 |
|---|---|
| ID | 本次会话的编号(行首可勾选,用于批量选择)。默认按 ID 从大到小排列。 |
| 来源地址 | 发起这次连接的来源 IP(即操作者是从哪台机器连进来的)。 |
| 设备地址 | 被连接设备的 IP 地址。 |
| 关联设备 | 被连接的设备名称,可点击跳到该服务器或交换机的详情页。 |
| 连接协议 | 本次会话使用的协议,如 ssh、telnet、vnc、rdp。 |
| 用户 | 发起连接的账号,可点击跳到该用户/管理员的详情页。 |
| 开始时间 | 会话开始的时间。 |
| 结束时间 | 会话结束的时间(仍在进行中的会话没有结束时间)。 |
| 文件大小 | 本次会话录像文件的大小(自动换算为合适单位,如 KB/MB;无录像时显示为 0)。 |
| 操作 | 针对该行的操作按钮,见下文 4.4。 |
正在进行中的会话:尚未结束的会话会以特殊底色高亮,"操作"列显示带转圈图标的"录像进行中"提示,此时还不能回放或查看命令(要等会话结束、录像落盘后才行)。
4.3 如何按条件查询
4.4 查看命令记录与回放画面
1.
2.
说明:VNC/RDP 这类图形会话操作的是"屏幕和鼠标",没有"命令"概念,因此不显示"日志"按钮,只能用"回放"看画面。
📷 (界面截图待补充:放大展示连接会话"操作"列的"回放"与"日志"两个按钮)
4.5 操作审计日志(命令明细)详情页
| 列名 | 含义 |
|---|---|
| 命令 | 操作者敲入的那一条命令。 |
| 用户 | 执行该命令的账号。 |
| 远端地址 | 执行命令的来源 IP。 |
| 资产 | 被操作的设备名称,可点击跳到对应服务器/交换机详情页。 |
| 日期 | 该命令被输入的时间。 |
| 操作 | "查看"按钮:点击后弹出标题为"查看命令输出"的窗口,以黑底终端样式展示这条命令的完整输出内容(像在真实命令行里看到的回显)。 |
1.
2.
3.
📷 (界面截图待补充:操作审计日志(命令明细)详情页,表格列出命令、用户、远端地址、资产、日期,每行带"查看"按钮)
📷 (界面截图待补充:"查看命令输出"弹窗,以黑底终端样式展示某条命令的完整回显内容)
五、在线会话管理(实时处置)
说明:除了"事后审计"的日志,系统还有一处**"实时"会话管理入口,用于查看和处置当前正在进行**的会话。它与上面的"操作审计"互补:操作审计看历史录像,在线会话管理处理眼下正活跃�的连接。该入口是否在菜单中出现,取决于账号是否拥有相应权限。
5.1 在线用户会话
| 列名 | 含义 |
|---|---|
| 名称 | 在线账号的名称(行首可勾选,用于批量处置)。 |
| 登陆IP | 该账号当前的登录来源 IP(可能有多个,以逗号分隔)。 |
| 闲置时间 | 该会话已经多久没有操作。 |
| 操作 | "禁用"按钮:强制让该账号的登录会话失效(相当于把对方踢下线,需重新登录)。 |
1.
2.
操作前系统会弹出确认框("确认禁用 N 会话?"),确认后提示"禁用 N 个会话成功"。何时用:当怀疑某账号被盗用、或某人离岗仍在线时,可在此立即让其会话失效,切断风险。
5.2 在线控制台会话
| 列名 | 含义 |
|---|---|
| 设备类型 | 被连设备是"服务器"还是"交换机"。 |
| 设备名称 | 被连设备名称,可点击跳到对应服务器/交换机详情页。 |
| 设备IP | 被连设备的 IP。 |
| 在线客户端 | 当前连在这条会话上的客户端:显示其角色("操作者"或"旁观者")和 IP;每个客户端后带一个"踢出"按钮。若同一会话有多个客户端,超出的会折叠进"更多"悬浮框,逐个列出并各带"踢出"。 |
| 会话创建用户 | 创建这条会话的账号。 |
| 会话协议 | 会话使用的协议(如 ssh、vnc 等)。 |
| 起始时间 | 会话开始时间。 |
| 已持续时间 | 会话已经持续了多久。 |
| 操作 | "关闭会话"按钮:断开整条会话(连同其下所有连接的客户端)。 |
这两个动作都会先弹确认框,确认后�均提示"踢出会话成功"。它们解决的是"实时处置"——比如发现有人正在不该连的设备上操作,可以马上断开。
六、常见问题与注意事项
Q:为什么有的会话只能"回放",没有"日志"按钮?
A:因为它是 VNC/RDP 这类图形界面会话,操作的是屏幕而非命令行,没有"逐条命令"可记,所以只能看画面回放。SSH/Telnet 这类命令行会话才会有"日志"。
Q:为什么有的会话既不能回放也不能看日志?
A:多半是该会话还在进行中(显示"录像进行中"),需等会话结束、录像保存完成后才能查看;或者该会话没有产生录像文件(文件大小为 0),此时不显示"回放"按钮。
Q:操作人后面带 (API)是什么意思?System、Client又是什么?
A:(API)表示这次操作不是有人手动在界面点的,而是通过系统对外的"接口(API)"方式发起的——常见于第三方系统对接或自动化脚本。System表示由系统自身(无人触发)产生;Client表示由客户端(普通用户)产生。
Q:日志能删除或修改吗?
A:系统日志、登录日志、命令记录在界面上都不提供删改入口,它们设计为只读,以保证审计证据不被篡改。
Q:在哪里把可疑账号"踢下线"��?
A:到第五节"在线会话管理 > 在线用户会话",对该账号点"禁用"即可强制其重新登录;若是正在连着某台设备的远程会话,则到"在线控制台会话"用"关闭会话/踢出"断开。
安全建议:建议定期(如每周)抽查这几类记录——重点看登录日志里的异地/异常登录、系统日志里的密码查看与删除类敏感操作、操作审计里的对核心设备的连接与命令。一旦发现可疑行为,及时在"在线会话管理"里禁用相关账号会话并修改密码。
修改于 2026-06-25 06:07:31