匹配项 说明 HTTP域名(Host) 匹配一组请求的域名 HTTP路径(Path) 匹配一组请求路径 HTTP方法(Method) 匹配一组请求的HTTP Method 端口(Port) 匹配一组请求的目标服务端口

在网关场景中默认在应答头部添加OWASP（Open Web Application Security Project）推荐的一组头部，用于提升Web应用安全性；您也可以添加自定义的头部。 注意 本插件只能用于网关场景 配置说明 字段 类型 是否必填 默认值 说明 headers map[string]string 否 要添加的头部信息

本章节进行网格安全能力概述 概述 单体应用发展成微服务架构带来了诸多便利，业务迭代更加敏捷，扩展性更好，同时为服务架构也带了新的安全考虑，如： 微服务之间通信安全问题，如何防止中间人攻击。 微服务之间的访问控制问题，对于敏感服务和信息，如何限制微服务之间的访问。 微服务之间访问频繁且关系复杂，如何追溯服务之间的调用情况，需要具备审计能力。 服务网格的安全机制提供了零信任的安全机制，很好地解决了以上问题。 服务网格安全架构 服务身份及证书管理 身份是安全的基础，只有给每个服务赋予一个身份才能在服务相互访问时对各方的身份进行认证以及对操作进行鉴权。服务网格使用证书作为网格内工作负载的身份标识，服务网格负载网格内工作负载的身份证书颁发、轮换等，为网格安全提供基础能力。 身份认证 服务网格提供两种认证机制： 对等身份认证：用于sidecar代理之间通信时的身份认证，解决sidecar之间身份认证和通信加密问题，支持基于工作负载证书的mTLS双向认证。 请求身份认证：用于外部请求进入网格内的身份认证，支持JWT及OIDC的认证方式。 授权 在微服务通信中，确定了双方的身份之后，我们还需要对客户端是否有权限访问服务端的资源进行权限检查。当前服务网格支持全局、命名空间和工作负载级别的授权策略控制，同时支持集成外部授权服务能力。

字段 类型 是否必填 默认值 说明 matchStatusCode int 是 ANY 匹配数据面返回的HTTP状态码 returnStatusCode int 是 自定义返回的HTTP状态码 headers map[string]string 否 自定义返回的HTTP头部 contentType string 是 自定义的contenttype body string 是 自定义HTTP Body信息

字段 类型 是否必填 默认值 说明 patchContext Enum 否 ANY 补丁生效的上下文，支持以下选项 ANY: 在Sidecar和网关中同时生效 SIDECARINBOUND：仅在Sidecar入站方向生效 SIDECAROUTBOUND: 仅在Sidecar出站方向生效 GATEWAY: 仅在网关中生效 portNumber string 是 网关生效场景下对应网关监听的端口 Sidecar生效场景下对应业务端口 initialConnectionWindowSize string 是 "25165824" 初始连接级别窗口大小，建议设置为"65536" initialStreamWindowSize string 是 "16777216" 初始流级别窗口大小，建议设置为"65536"

本插件在Sidecar中记录请求和响应体，搭配Dynamic Metadata机制和istio Telemetry API配置能力，实现在访问日志中记录请求和响应体的能力。 注意 1. 本插件当前只在Sidecar入站方向生效 2. 需要和访问日志配置功能配合使用，在访问日志中通过%DYNAMICMETADATA(envoy.lua)%变量引用请求和响应体 配置说明 字段 类型 是否必填 默认值 说明 portNumber string 是 服务端口信息，如"9080"

直接响应插件可以实现在网格数据面匹配到特定请求后不执行请求转发，直接返回数据；可用于mock测试等场景。此插件可以应用于网关和sidecar入站场景。 配置说明 字段 类型 是否必填 默认值 说明 patchContext Enum 是 补丁生效的上下文，支持以下选项 SIDECARINBOUND：仅在Sidecar入站方向生效 GATEWAY: 仅在网关中生效 host string 否 应用在网关时需要和网关VirtualService中的host字段一致 应用在Sidecar场景时不需要指定该字段 port string 是 匹配的数据面端口 网关场景时对应网关监听端口 Sidecar场景下对应服务端口 path string 是 匹配的请求路径 response string 是 直接响应的内容 responseStatus string 是 直接响应的HTTP状态码

字段 类型 是否必填 默认值 说明 maxHeaderSizeKb uint32 是 60 单位（KB），限制HTTP请求头部的大小

字段 类型 是否必填 默认值 说明 patchContext Enum 是 ANY 补丁生效的上下文，支持以下选项 ANY: 在Sidecar和网关中同时生效 SIDECARINBOUND：仅在Sidecar入站方向生效 SIDECAROUTBOUND: 仅在Sidecar出站方向生效 GATEWAY: 仅在网关中生效

字段 类型 必选 说明 workloadSelector WorkloadSelector N 用于选择匹配的工作负载 configPatches EnvoyConfigObjectPatch[] N 需要下发到数据面的配置 priority int N 优先级定义，可用于处理个EnvoyFilter匹配同一个工作负载，且EnvoyFilter之间存在依赖关系的场景 1. 默认的生效顺序为根命名空间 > 工作负载命名空间，在一个EnvoyFilter内的多个patch按照定义的顺序生效 2. 如果优先级为负，则在默认生效规则之前生效，如果为正则在默认生效规则之后生效 3. 建议优先级定义时保留足够的间隔，用于插入新的补丁

概述 服务网格支持通过EnvoyFilterTemplate CRD定义EnvoyFilter模板，通过EnvoyFilterTemplateBinding定义EnvoyFilter模板绑定关系，支持将EnvoyFilter模板绑定到K8s Namespace、Service和Workload上并自动生成EnvoyFilter下发到目标数据面，简化EnvoyFilter管理。 说明 服务网格提供了表单界面管理EnvoyFilterTemplate和EnvoyFilterTemplateBinding，您只需要关注具体的EnvoyFilter配置、关联的istio版本及需要绑定的数据面信息即可。 CRD说明 EnvoyFilterTemplate EnvoyFilterTemplate用于定义Envoy过滤器模板 字段 类型 必选 说明 Templates []TemplateValue N 一组过滤器模板 TemplateValue 字段 类型 必选 说明 IstioVersion string Y 过滤器模板匹配的istio数据面版本范围，如minmax表示当前已知的最小版本到最大版本，1.19.01.21.0表示特定的版本范围 Value string Y EnvoyFilter YAML定义 EnvoyFilterTemplateBinding EnvoyFilterTemplateBinding定义了EnvoyFilterTemplate的绑定关系，当前支持绑定到命名空间、服务和工作负载，EnvoyFilterTemplateBindingSpec定义如下 字段 类型 必选 说明 TemplateRef EnvoyFilterTemplateRef Y 引用的EnvoyFilterTemplate信息 Workloads []WorkloadRef Y 绑定目标信息 EnvoyFilterTemplateRef定义了需要绑定的EnvoyFilterTemplate信息 字段 类型 必选 说明 Name string Y 引用的EnvoyFilterTemplate名称 IstioVersion string Y 预期要绑定的istio数据面版本范围，如minmax表示当前已知的最小版本到最大版本，1.19.01.21.0表示特定的版本范围 WorkloadRef定义了绑定的目标数据面信息 字段 类型 必选 说明 Namespace string Y 绑定目标所在的命名空间 Name string N 绑定目标的名称 Kind string Y 绑定目标类型，支持Namespace，Service，Deployment三种类型 Selector map[string]string N 绑定目标的标签选择器

信息字段 说明 权限 权限的类型，包括查询、DDL、DML、DCL、导出、导入 权限获取方式 权限的来源，分为数据权限工单、某个用户授权 开通时间 权限开通的时间 到期时间 权限到期的时间，权限到期后会自动失效并删除

DSC提供了动态脱敏的API接口供调用使用，策略通过参数传入，具体请参考数据动态脱敏。

本章为您介绍如何对DSC的操作记录进行审计。 DSC的所有操作都会通过API形式记录在云审计服务（Cloud Trace Service，CTS）中。 开通云审计服务后，您可以在云审计服务中查看有关DSC的所有操作记录，供安全审查使用。关于如何查看审计日志，请参见查看DSC的云审计日志。

资产模块 服务策略 作用范围 备注 OBS OBS Adminstrator 全局 用于配置OBS日志，获取OBS对象列表，下载OBS对象等 OBS EVS ReadOnlyAccess 区域 用于获取云硬盘列表 OBS OBS Adminstrator 全局 用于获取OBS服务投递日志 数据库 ECS ReadOnlyAccess 区域 用于获取自建数据库ECS列表 数据库 RDS ReadOnlyAccess 区域 用于获取RDS数据库列表及数据库列表相关信息 数据库 DWS ReadOnlyAccess 区域 用于获取DWS列表 数据库 VPC FullAccess 区域 用于打通网络，VPC的端口创建，安全组规则创建等 数据库 KMS CMKFullAccess 区域 用于使用KMS加密脱敏的场景 大数据 ECS ReadOnlyAccess 区域 用于获取自建大数据ECS列表 大数据 CSS ReadOnlyAccess 区域 用于获取CSS数据集群列表及数据索引等相关信息 大数据 DLI Service User 区域 用于获取DLI队列及数据库 大数据 VPC FullAccess 区域 用于打通网络，VPC的端口创建，安全组规则创建等 大数据 KMS CMKFullAccess 区域 用于使用KMS加密脱敏的场景 数据安全总览 Tenant Guest 区域 用于获取用户涉及数据存储处理等相关云服务的列表等 数据安全总览 OBS Adminstrator 全局 用于配置OBS日志，获取OBS对象列表，下载OBS对象等 数据安全总览 EVS ReadOnlyAccess 区域 用于云硬盘列表获取 数据安全总览 OBS Adminstrator 全局 用于OBS服务投递日志

本章为您介绍文档损坏后，是否可以提取出水印。 DSC提供的数字水印能力具有高鲁棒性，即水印在传输或使用过程中不易被磨灭掉，数据载体即使经过被改动或受到攻击损坏后，依然有很大概率提取出水印。 1、添加水印后的文档被删除了几页后，仍然可以提取出水印。 2、添加水印后的图片被旋转、剪裁、缩放、修图等形变后，根据形变大小决定，形变较小则可以提取。

数据源 具体的数据类型 扫描限制 关系型数据库 MySQL、SqlServer、PostgreSQL类型。 采样扫描前500行数据。扫描指标QPS为300次/秒。 云搜索服务 大数据资产 对象存储服务 支持200+文件类型。 大于200MB以上的文件不会对其进行扫描；同时如果OBS桶的文件进行了加密，则无法对其扫描。 数据仓库服务 弹性云主机 搭建的Mysql、SqlServer、PostgreSQL、Oracle数据库及ElasticSearch实例。 数据湖探索 大数据资产

本章为您介绍为什么创建数据库脱敏任务时，无法找到已有的数据库实例中的表。 如果您在创建数据库脱敏任务时，选择已有的数据库实例，却无法找到对应实例里的表，一般是授权错误导致的。 背景 如果只对RDS数据库配置了“只读权限”，则只支持对数据库进行敏感数据识别，不支持数据脱敏。 原因 对该数据库实例只授权了“只读”权限，授权为“只读”权限无法进行数据脱敏。 解决办法 1. 参照删除数据库资产删除该授权的数据库实例。 2. 再参照授权数据库实例章节对数据库实例重新授权为“读写权限”。 说明 对数据库实例进行授权时，如果配额不够，请参照升级版本和规格购买数据库扩展包，1个数据库扩展包含1个可添加数据库（支持RDS、DWS、ECS自建数据库、DLI、CSS、ECS自建大数据等）资产。

本章为您介绍如何同时启动多个敏感数据识别规则组 DSC根据不同的场景预置了100+条敏感数据识别和脱敏规则，可对个人敏感信息（身份证、银行卡、姓名、手机号、邮箱等）、企业敏感信息（营业执照号码、税务登录证号码等）、密钥敏感信息（PEM证书、HEY私钥等）、设备敏感信息（IP地址、MAC地址、IPV6地址等）、位置敏感信息（省份、城市、GPS位置、地址等）和通用敏感信息（日期）等敏感信息进行识别和脱敏。同时，DSC也支持自定义识别规则，自定义识别规则的操作方法请参见新增敏感数据规则。 在为同一个资产创建扫描任务时，可添加多个“识别规则组”，同时启动多个敏感数据识别规则，实现为同一资产配置多场景的扫描任务。

本章节为您介绍 如何排查数据库资产连通性失败？ 数据库添加完成后，该数据库的“连通性”为“检查中”，此时，DSC会测试数据库的连通性，如果数据库的“连通性”为“失败”，请按照以下步骤进行排查： 1. 检查添加资产的IP、帐号、密码、数据库名是否正确。 不正确，修改添加资产的IP、帐号、密码、数据库名。 正确，执行2。 2. 检查您资产安全组的出方向是否全部放开。 没有全部放开，需要添加出方向规则，安全组的出方向全部放开后再编辑数据库重新添加，如果仍失败，执行3。 已全部放开，执行3。 3. 检查数据库对应IP子网的可用IP数是否为0。 由于DSC服务需要对数据库进行网络打通，至少需要一个可用IP数。如果数据库对应IP子网的可用IP数为0，则需要在对应数据库服务中添加可用IP。

本章为您介绍 数据脱敏是否对原始数据有影响？ 没有影响。数据脱敏功能只会对数据进行读取，脱敏后保存到您选择的目标位置，不会对源数据进行改动。

使用约束 DSC控制台仅支持对PDF、PPT、Word、Excel格式的文档嵌入和提取水印。

授权并激活远程桌面服务 前提条件 已提前申购企业许可号码，并获取相关信息。 已获取服务器管理员帐号与密码。 操作步骤 1 打开服务器管理器，选择“所有服务器 >选择服务器名称”，鼠标右键选择“RD授权管理器”，打开RD授权管理器界面。 2 选择未激活的目标服务器，鼠标右键选择“激活服务器”。 激活服务器 3 打开服务器激活向导界面，根据界面引导操作。 打开服务器激活向导 4 选择自动连接方式。 选择自动连接 5 输入公司名称和用户姓名。 输入相关信息 6 （可选）输入公司详细通讯信息。 输入公司详细信息 7 确认安装启动许可证安装向导。 确认许可证安装向导 启用许可证安装向导 8 许可证计划选择“企业协议”。 9 输入企业协议号码。 输入协议号码 10 选择服务器版本为“Windows server 2012 R2”，选择许可证类型为“RDS每用户CAL”，选择许可证数为100。 选择服务器版本 11 完成许可证安装，激活服务器，返回RD授权管理页面，查看服务器已激活。 成功安装许可证

版本差异 标准版 和专业版的基础功能均支持身份认证、权限控制、账户管理、操作审计，主要功能差异为自动化运维、数据库运维审计两个增强功能。 详细版本功能差异： 功能项 功能说明 标准版 专业版 :::::::: 身份认证 用户账号双因子认证 支持手机令牌、手机短信、USBKey、动态令牌等多因子认证形式。 √ √ 身份认证 用户账号远程认证 支持AD域、RADIUS、LDAP、Azure AD远程认证。 √ √ 权限控制 系统访问权限 通过划分组织部分结构、分配用户角色、设置用户登录限制，控制用户登录和访问系统权限。 √ √ 权限控制 资源访问权限 按照用户、用户组、资源账户、账户组，建立用户对资源的访问控制授权，通过配置访问控制策略、双人授权、命令控制策略，实现对资源不同维度的控制。 √ √ 权限控制 双人授权 通过配置“双人授权”实现双人或多人权限审核，保障核心资源安全。 √ √ 权限控制 字符命令拦截 通过配置命令控制策略，对字符协议资源关键操作，进行动态授权。 √ √ 权限控制 数据库命令拦截 通过配置数据库控制策略，对数据库资源敏感、危险等操作，进行精确限制、二次复核。 说明：数据库命令拦截功能不区分云数据库还是自建的数据库。 × √ 账户管理 用户账号全生命周期管理 用户账号单个创建、批量导入、批量管理，以及划分用户组管理。 √ √ 账户管理 资源账户全生命周期管理 资源和资源账户的单个添加、批量导入、批量管理，以及资源账户的划分账户组管理。 √ √ 账户管理 纳管主机资源 支持纳管SSH、RDP、VNC、TELNET、FTP、SFTP、Rlogin协议类型的Linux和Windows资源。 √ √ 账户管理 纳管应用资源 支持通过Windows应用服务器，纳管Chrome、Edge、Firefox、Oracle Tool 、MySQL等浏览器或客户端应用资源。 √ √ 账户管理 纳管数据库资源 支持纳管DB2、MySQL、SQL Server和Oracle引擎类型数据库。 × √ 账户管理 资源账户自动改密 通过配置改密策略，定期修改资源账户密码，管控资源账户及登录密码。 √ √ 账户管理 资源账户自动同步 通过配置账户同步策略，及时发现僵尸账户或未被管控账户。 × √ 操作审计 系统登录和操作全程记录 支持导出系统日志、生成系统报表，以及配置告警通知。 √ √ 操作审计 资源运维操作全程审计 支持多种审计技术和审计形式，会话实时监控，历史会话可生成视频、导出文本报表的双重审计，并支持日志远程备份。 √ √ 操作审计 数据库行为审计 基于操作命令审计数据库运维全程。 × √ 高效运维 Web浏览器一站式运维 远程登录资源，无需安装客户端，一键登录运维资源，并集成批量登录、协同会话、文件传输、命令群发等功能。 √ √ 高效运维 第三方客户端运维 一键接入多种运维工具，支持多种运维形式，包括SSH客户端运维、FTP/SFTP客户端运维等。 √ √ 高效运维 数据库运维 通过SSO单点登录工具调用客户端，一键登录目标数据库。 × √ 高效运维 自动化运维 在线管理脚本，以及定时执行预置运维任务。 × √ 工单申请 访问授权工单、命令授权工单申请 系统用户为获取资源控制权限，通过手动或自动方式触发系统工单，提交工单给系统管理人员审批，获取权限的全程。 √ √ 工单申请 数据库授权工单申请 系统用户可触发数据库敏感操作，自动生成授权工单，系统用户需提交工单申请，由管理人员审批通过才能获取继续操作权限。 × √

高效运维 通过多种架构运维、多种运维资源、多种运维工具、多种运维形式的接入，全面提升运维效率。 Web浏览器运维 HTML5远程登录资源，无需安装客户端，一键登录运维资源，实现操作实时监控、文件上传下载等运维管理。 一站式登录运维 在Windows、Linux、Android、iOS等操作系统上，支持任意主流浏览器无插件化运维，包括Edge、Chrome、Firefox等主流浏览器，让运维人员脱离运维工具和操作系统束缚，随时随地远程运维。 批量登录 支持一键登录多个授权资源，多个资源可同时在一个浏览器页签运维。 协同会话 支持多人参与“协同分享”，邀请其他运维人员或专家进行协同运维，对同一会话进行协同操作或问题定位，提高多人运维效率。 文件传输 基于WSS的文件管理技术，支持文件上传/下载，以及文件在线管理，实现多主机文件共享功能 。 命令群发 针对多个Linux资源，开启群发键。在一个会话窗口执行命令后，其他会话窗口将同步执行相同操作。 第三方客户端运维 在不改变用户使用原来客户端习惯的前提下，支持一键接入多种运维工具，提升运维效率。 多种运维工具 支持接入SecureCRT、Xshell、Xftp、WinSCP、Navicat 、Toad for Oracle等工具。 SSH客户端运维 针对字符协议类主机资源，可通过运维客户端登录资源，实现运维平台多种选择。 数据库客户端运维 针对数据库主机资源，通过配置SSO单点登录工具，调用数据库客户端，实现一键登录目标数据库资源，数据库运维操作。 文件传输客户端运维 针对文件传输协议类主机资源，通过调用FTP/SFTP/SCP客户端登录资源，实现客户端运维。 自动化运维 线上多步骤复杂操作自动化执行，告别枯燥的重复工作，提高工作效率。 脚本管理 线下脚本上线管理，支持Shell和Python类型脚本的管理。 运维任务 通过配置命令执行、脚本执行、文件传输的运维任务，可定期、批量、自动执行预置的运维任务。

参数 说明 令牌标识 动态令牌条形码。 秘钥 动态令牌的厂商提供，与“令牌标识”一一对应的唯一“密钥”。 关联用户 选择已配置“动态令牌”多因子认证的用户帐号。

参数 说明 产品名称 云堡垒机 产品ID 用户产品ID唯一认证码。 服务码 单击“查看”获取，主要用于技术人员登录系统后台，技术人员根据内部系统提供的解密功能进行后台管理。 API凭证 主要用于统一管理平台添加节点认证使用。 l 单击“查看”时需要输入系统管理员admin密码、Access Key Secret、Access Key ID。 l “更新”、“清除”API凭证需要输入系统管理员admin密码，并且更新后，统一管理平台管理的该节点将会失效。 HA Key 主要用于配置HA时使用。 当用户通过Web界面配置HA的备节点时，备节点上的程序需要连接到指定的主节点上，再获取相关配置信息进行有效性校验，并在校验通过后才能修改主节点上的配置。 版本号 当前系统版本。 设备系统 当前系统软件版本。 发行日期 当前系统版本发行日期。

本小节主要介绍安装Windows Server 2019应用服务器。 安装服务器角色和功能 前提条件 已获取服务器管理员帐号与密码。 操作步骤 1. 使用管理员帐号登录服务器。 2. 打开“服务器管理器”，选择“仪表板”，进入仪表板界面。 3. 单击“添加角色和功能”，打开“添加角色和功能向导”窗口，根据向导指示，逐步单击“下一步”操作。 开始之前 4. 选择基于角色或基于功能的安装。 选择安装类型 5 在服务器池中选择目标服务器。 选择服务器 6 在服务器角色窗口中，勾选“Active Directory域服务”、“DNS服务器”、“远程桌面服务”三个角色项。 选择服务器角色 7 （可选）选择服务器所需要的其它功能，默认下一步跳过。 选择其他功能 8 选择“远程桌面服务 > 角色服务”，进入选择远程桌面角色服务窗口。 勾选“Remote Desktop Session Host”、“远程桌面连接代理”、“远程桌面授权”、“远程桌面网关”四角色服务项。 选择角色服务 9 （可选）选择“Web服务器角色（IIS） > 角色服务”，进入选择网络策略和访问角色服务窗口，按默认选项执行。 选择IIS服务角色 选择服务角色 10 （可选）选择“网络策略和访问服务 ”，进入选择网络策略和访问服务窗口，默认勾选“网络策略服务器”选项。 选择网络策略和访问服务 11 确认配置选择，单击“安装”，请耐心等待安装进度完成。 安装服务器角色 12 安装进度结束后，单击“关闭”并重启应用发布服务器，即服务器角色安装完成。

检查主机实例环境是否合理配置 步骤 1 管理员登录主机实例管理控制台。 步骤 2 检查主机资源是否与CBH实例在同一区域同一VPC环境下，CBH仅支持直接访问同一区域同一VPC下资源。 步骤 3 检查主机实例关联的安全组规则，排查安全组规则配置是否合理。 解除对CBH的IP地址的访问限制，在源地址中添加CBH的IP地址，允许CBH访问资源。 步骤 4 重新设置后，尝试重新通过CBH系统登录资源。 通过Web浏览器登录资源，报Code：T1006错误怎么办？ 问题现象 通过Web浏览器登录资源，会话连接断开，提示“网络连接异常，连接已断开，请重试（Code：T1006）”。 可能原因 云堡垒机系统与资源服务器之间网络连接不稳定，导致连接断开。 云堡垒机或资源服务器的带宽超限，导致连接断开。 资源服务器卡顿，导致连接断开。 解决办法 登录云堡垒机系统，验证云堡垒机与资源服务器之间的网络连接是否正常。 网络连接不通，则CBH系统到资源服务器有网络限制，请参考Code：T514错误方案依次排查。 网络连接通畅，则网络不稳定导致连接无响应。 重启相应资源服务器，重新登录网络恢复正常。若重启主机不能解决，请参考下述方案依次排查。 排查云堡垒机和主机资源带宽是否超过限制请。 如果通过上述排查，仍然无法解决问题，请单击管理控制台右上方的“工单”，填写工单信息反馈问题现象，联系技术支持。 通过Web浏览器登录资源，报Code：C515错误怎么办？

日志类型 日志内容 历史会话 运维会话视频：无需设置，全程录屏记录运维会话操作，可在线播放或下载操作视频。 运维会话详情：用户运维会话详情，可在线查看或导出Excel文件。详情内容包括 资源会话信息 、 系统会话信息 、 运维记录 、 文件传输 、 协同会话 的详细操作记录。 系统日志 以折线图的形式，从多方面呈现用户运维资源随时间变化的趋势，并可生成运维资源综合分析报告。 主要涵盖内容有“运维时间分布”、“资源访问次数”、“会话时长”、“来源IP访问数”、“会话协同”、“双人授权”、“命令拦截”、“字符命令数”和“传输文件数”。 运维报表 系统登录日志：用户登录系统的详细记录，可在线查看或导出Excel文件。 l 系统操作日志：用户系统操作的详细记录，可在线查看或导出Excel文件。 系统报表 以柱状图的形式，从多方面统计用户登录系统和系统操作次数，并可生成系统管理综合分析报告。 主要涵盖内容有“用户控制”、“用户与资源操作”、“用户源IP数”、“用户登录方式”、“异常登录”、“会话控制”和“用户状态”。

安全审计 等保条例：应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计； 云堡垒机支持查看实时会话、查看历史会话及查看查看系统日志的功能。 您可以在系统日志中查看系统登录日志，具体可细分为登录时间、登录用户、来源IP、日志内容、登录方式、登录结果和备注等内容。 等保条例：审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息； 可以在系统操作日志中详细查看每个账号对堡垒机做了哪些操作，具体记录到用户、时间、来源IP、模块、日志内容、结果。

此小节介绍如何使用堡垒机对安全事故进行事后追溯。 随着业务上云并不断发展，云上运维的人数不断增加，这样必然会衍生出一些运维人员操作疏忽而导致的一些安全事故，但由于传统服务器缺少指令监控，操作回放等功能，这样就导致安全事件可追溯性不完善的问题。 云堡垒机可以管控所有的操作，并对所有的操作都进行详细记录。针对会话的审计日志，支持在线查看、在线播放和下载后离线播放。目前支持字符协议（SSH、TELNET）、图形协议（RDP、VNC）、文件传输协议（FTP、SFTP、SCP）、数据库协议（DB2、MySQL、Oracle、SQL Server）和应用发布的操作审计。其中，字符协议和数据库协议能够进行操作指令解析，还原操作指令；文件传输能够记录传输的文件名称和目标路径。 简介 本章节介绍了云堡垒机如何通过会话审计功能对安全事件进行追溯调查，完成安全事件的责任界定。 前提条件 已购买云堡垒机，并且使用有审计模块权限的账号登录云堡垒机 对历史会话进行审计 1. 登录控制台。进入“历史会话”页面，具体操作步骤详见查看历史会话。 2. 根据您业务出现安全问题的一些信息，在“高级搜索框”中输入相关信息进行检索。 3. 根据搜索完后的结果，在“操作”列单击“详情”，进入“会话详情”页面，对历史操作指令、文件传输情况进行排查。 根据上述步骤您就可以根据操作指令的情况，排查出是哪个步骤出现了问题，为您的事件追溯提供了便利性。当然您也可以使用会话回放功能，通过播放运维视频，来查看具体的操作情况。 云堡垒机还为您提供实时会话监控功能，让您可以实时查看高危操作的运维界面，若出现危险指令可立即切断运维人员的操作，确保业务的安全。