日志服务 CLS
最后更新时间:2025-04-18 10:59:00
堡垒机支持将日志投递到日志服务 CLS,实现日志从采集、日志存储到日志检索等全方位的日志服务。
说明:
前提条件
已开通 日志服务。
当前账号已完成角色授权。
开通日志服务与角色授权
1. 登录 堡垒机控制台。
2. 在左侧导航栏中,选择系统设置 > 日志服务 CLS。
3. 在日志服务 CLS 页面,单击前往授权。
4. 在服务授权弹窗中,单击同意授权,即可完成授权操作。
5. 操作完成后,即可使用日志服务 CLS。
命令执行审计日志定义
字段值 | 类型 | 说明 |
Sid | String | 会话 ID,用于唯一标识一个会话。 |
UserName | String | 用户名,代表执行操作的用户名称。 |
Account | String | 账号。 |
InstanceId | String | 资产 ID,用于标识特定的资产。 |
FromIp | String | 来源 IP,发出请求的 IP 地址。 |
SessTime | String | 会话开始时间,标志会话启动的时刻。 |
Time | String | 命令执行时间,具体命令被执行的时刻。 |
TimeOffset | Long | 相对会话开始时间的偏移量(单位 ms),表示命令执行时间与会话开始时间的时间差。 |
Cmd | String | 命令内容,即执行的具体命令。 |
Action | Long | 命令动作,1 表示允许执行命令,2 表示拒绝执行命令。 |
文件传输审计日志定义
字段名 | 类型 | 说明 |
Sid | String | 会话 ID,用于唯一标识一个会话。 |
Time | String | 会话时间,标志会话发生的时刻。 |
Method | Long | 1 - 9 由 SFTP 文件传输及磁盘映射使用,剪贴板从 10 开始。 1:文件上传 2:文件下载 3:文件删除 4:文件夹移动 5:文件夹重命名 6:创建文件夹 7:废弃状态 8:废弃状态 9:删除文件夹 10:剪贴板文件上传 11:剪贴板文件下载 12:剪贴板文本上传 13:剪贴板文本下载 14:剪贴板图片上传 15:剪贴板图片下载 16:剪贴板其他类型上传 17:剪贴板其他类型下载 |
Action | Long | 命令动作,1 表示允许执行命令,2 表示拒绝执行命令。 |
UserName | String | 用户名,代表执行操作的用户名称。 |
Account | String | 账号。 |
FromIp | String | 来源 IP,发出请求的 IP 地址。 |
InstanceId | String | 资产 ID,用于标识特定的资产。 |
Protocol | String | 文件的操作使用的协议方式,如 SFTP、RDP、rz/sz。 |
FileCurr | String | 源文件路径。 |
FileNew | String | 目标文件路径。 |
Size | Long | 文件大小。 |
启用日志服务 CLS
1. 登录 堡垒机控制台。
2. 在左侧导航栏中,选择系统设置 > 日志服务 CLS。
3. 在日志服务 CLS 页面,选择需要启用的日志类型,单击立即启用。
4. 在开启日志投递的弹窗中,选择目标地域、日志集、日志主题等配置。
参数 | 说明 |
目标地域 | 选择日志投递的地域,支持异地投递。 |
日志主题操作 | 日志主题是日志数据进行采集、存储、检索和分析的基本单元。支持选择已有日志主题或者创建日志主题。 |
日志主题 | 选择已有日志主题:可在搜索框筛选所选日志集下的日志主题。 创建日志主题:在所选日志集下创建新的日志主题。 说明: |
日志集操作 | 日志集是对日志主题的分类,方便您管理日志主题。支持选择已有的日志集或者创建日志集。仅当日志主题操作选择创建日志主题时可选。 |
日志集 | 选择已有日志集:可在搜索框筛选已有的日志集。 创建日志集:仅当日志主题操作选择创建日志主题时,此项可设置。 |
5. 选择参数配置后,单击立即开启即可。
检索分析
1. 登录 堡垒机控制台。
2. 在左侧导航栏中,选择系统设置 > 日志服务CLS。
3. 在日志服务 CLS 页面,选中需要查看的日志类型,单击检索分析,跳转至日志服务控制台。
4. 在日志服务中,检索分析提供对日志数据进行过滤、搜索和统计分析的功能。详情请参见 检索分析。
关闭投递
1. 登录 堡垒机控制台。
2. 在左侧导航栏中,选择系统设置 > 日志服务 CLS。
3. 在日志服务 CLS 页面,选择需要关闭的日志类型,单击关闭投递。
4. 在关闭访日志投递弹窗中,阅读注意事项并勾选确认关闭,单击确认即可。
文档反馈