运维审计系统

管理员可以通过在Web界面的会话复核菜单中定义各种规则，来控制具体的会话复核行为，即要求特定的操作用户在访问特定的资产时，必须由特定的复核人进行复核之后，才能在该资产上执行各种操作。

1. 使用管理员帐号登录运维审计系统 Web界面。
2. 选择工作台 > 高危操作 > 设置 > 会话复核，单击右上角的新增会话复核。
   
   
   
   
   
3. 填写会话复核规则的名称。
   
   
   
   
   

   该名称为一个长度1~200的字符串，全局唯一。

4. 添加会话复核人。单击，在弹出的对话框中选择用户或用户组页签，勾选待添加的用户或用户组。
   在配置了会话复核之后，操作用户访问资产且匹配会话复核规则时，在会话启动前会要求选择会话复核人，该会话复核人将在此处添加的会话复核人中选取。

   Note:

   • 会话复核人必须是具有高危操作中的复核权限（例如审计管理员不具有复核权限），且可以正常登录的用户（不存在帐号过期、密码过期、被禁用），否则都无法作为会话复核人：
     • 无法作为会话复核人的用户，将不被显示在可勾选列表中。
     • 用户组中如包含无法作为会话复核人的用户，该用户将被忽略。
     • 如只勾选了用户组，但用户组为空，或所有用户组中都只包含无法作为会话复核人的用户，则该会话复核规则将无法生效，会话将不被复核。
   • 复核人可以和操作人相同，当某用户被同时配置为了复核人和操作用户时，如还有其他复核人，则该用户访问资产时只能选择其他的复核人进行复核；如没有其他复核人，则该用户的访问不需要复核。
   • 复核人的选择不受部门分权的限制，即下级部门的人员也可以为上级部门人员的操作进行复核。
   • 如添加了多个用户和用户组，且互相之间有重复用户，则复核人将取所有勾选的用户和用户组之间的并集。
5. 添加需要进行会话复核的操作用户。单击，在弹出的对话框中选择用户或用户组页签，勾选待添加的用户或用户组。
   Note:

   • 操作用户必须是具有访问资产权限（例如审计管理员不具有访问资产权限），且可以正常登录的用户（不存在帐号过期、密码过期、被禁用），否则都无法作为操作用户：
     • 无法作为操作用户的用户，将不被显示在可勾选列表中。
     • 用户组中如包含无法作为操作用户的用户，该用户将被忽略。
     • 如只勾选了用户组，但用户组为空，或所有用户组中都只包含无法作为操作用户的用户，则该会话复核规则将无法生效。
   • 如添加了多个用户和用户组，且互相之间有重复用户，则操作用户将取所有勾选的用户和用户组之间的并集。
6. 添加建立会话时需要进行复核的资产。单击，在弹出的对话框中选择资产或资产组页签，勾选待添加的资产或资产组。
   如添加了多个资产和资产组，且互相之间有重复资产，则将取所有勾选的资产和资产组之间的并集。
7. 添加资产帐号，仅当使用该资产帐号访问资产时需要进行会话复核。
   默认勾选全部帐号，即操作用户使用任何帐号访问特定资产时都需要会话复核。如需单独设置帐号，请去勾选全部帐号，请在下方的对话框中，输入要添加的帐号，并按回车确定。单击该对话框也将列出运维审计系统上记录的这些资产所拥有的所有帐号，选中某个帐号或者按回车之后，该帐号将在下方表格中列出，表示添加成功。
8. 设置开始待审核会话时生成事件。
   1. 设置事件级别。在下拉菜单中选中一个事件级别。

      事件级别由低到高依次为：NONE （不发送告警事件）—>DEBUG（调试级）—>INFORMATIONAL（通知级）—>NOTICE（注意级）—>WARNING（告警级）—>ERROR（错误级）—>CRITICAL（临界级）—>ALERT（警戒级）—>EMERGENCY（致命级）。

   2. 设置标题，格式为一个长度1~30的字符串。
   Note: 开始待审核会话时生成事件会影响告警事件和短信通知。

   • 当触发会话复核时：
     • 如系统设置 > 系统 > 基本设置 > 告警事件中的syslog日志事件来源的会话复核选项被勾选，运维审计系统会将该事件发送给syslog服务器。
     • 如通知邮件事件来源的会话复核选项被勾选时，运维审计系统会将该事件发送邮件给设定的邮件收件人。如勾选了事件触发者，会同时发送给发起会话的用户。
     • 如短信配置 > 发送短信功能中的会话复核被勾选，并且指定的会话复核人配置了手机号码时，则运维审计系统会将该事件发送短信给该复核人。
   • 仅当事件级别不低于syslog日志事件来源或通知邮件事件来源中配置的发送事件的最低级别时，才会发送相应的日志或邮件通知。
   • 此处配置的事件级别和标题，都将显示在触发高会话复核后运维审计系统发送的日志、邮件、短信的内容中。
9. 确定配置无误后，单击保存，使规则生效。

完成配置后，如果在进行配置会话复核时配置有误，或者管理员后续对于用户或资产的操作对会话复核配置有影响，都会导致会话复核规则的状态异常。例如复核人用户组中成员都没有会话复核权限，帐号过期或被禁用，用户组/资产组被清空等。此时运维审计系统会通过以下手段进行通知：

• 状态异常的会话复核名称会显示为红色。
• 所有超级管理员和配置管理员，在每次登录时右上角会收到提醒，提示哪些会话复核存在问题。
• 当某个操作使某条会话复核规则的状态由正常变为异常时，所有在线的超级管理员都会收到提示。
• 当操作用户访问资产时触发会话复核规则，而没有可用的会话复核人时，操作用户访问资产的行为将被阻止，并且收到无权访问资产的提示。

请管理员在收到系统提醒或收到操作用户的反馈时，及时处理状态异常的会话复核规则，保证每条规则中可用的复核人、操作用户、资产都不为空。可以单击会话复核列表中的，在弹出的窗口中，查看指定规则对应的可用的复核人、操作用户、资产有哪些。

管理员可以通过在Web界面的高危命令菜单中定义各种规则，针对特定的用户、资产、帐号启用特定的高危命令模板，从而对用户在字符会话中的操作行为进行控制。

Note:

• 高危命令只对Telnet/SSH字符会话有效，如通过XDMCP或XFWD等图形会话方式打开字符终端并执行命令，将不受高危命令的约束。
• 运维审计系统不支持对执行tmux命令后的操作，进行高危命令的识别和阻断。

高危命令的上下顺序代表优先级高低，单击或可以调整优先级。当配置了多个命令模板，命令模板中有多条可匹配的规则时，建立会话时的命令权限检查流程流程图如图5.1 命令权限检查流程图所示。

本节以新增一条高危命令规则为例，对配置高危命令进行指导。在已添加了高危命令规则之后，也可以通过单击对应的编辑和删除按钮，对已有的高危命令规则进行管理。

1. 使用管理员帐号登录运维审计系统 Web界面。
2. 选择工作台 > 高危操作 > 设置 > 高危命令，单击右上角的高危命令全局缺省策略。
   
   
   
   
   
3. 将全局缺省策略配置为允许执行或禁止执行，完成后单击保存。
   
   
   
   
   

   如果所有的高危命令的规则都无法匹配，则使用此全局缺省策略。全局缺省策略的缺省值为允许执行。

4. 单击右上角的新增高危命令，填写高危命令规则的名称。
   
   
   
   
   

   该名称为一个长度1~200的字符串，全局唯一。

5. 在下拉菜单中选择待引用的命令模板的名称。该模板必须先在设置 > 命令模板中定义，然后在此引用。
6. Optional: 当模板中存在需复核的命令时，添加高危命令复核人。单击，在弹出的对话框中选择用户或用户组页签，勾选待添加的用户或用户组。
   在配置了高危命令的复核人之后，当操作用户触发高危命令，且在命令模板中设置的高危命令的执行动作是需复核时，运维审计系统会将命令复核提醒发送给每一个可用的复核人，由其中任意一人完成命令复核。

   Note:

   • 高危命令复核人必须是具有高危操作中的复核权限（例如审计管理员不具有复核权限），且可以正常登录的用户（不存在帐号过期、密码过期、被禁用），否则都无法作为复核人：
     • 无法作为复核人的用户，将不被显示在可勾选列表中。
     • 用户组中如包含无法作为复核人的用户，该用户将被忽略。
     • 如只勾选了用户组，但用户组为空，或所有用户组中都只包含无法作为命令复核人的用户，则该高危命令规则将无法生效。
   • 复核人可以和操作人相同，当某用户被同时配置为了复核人和操作用户时，如还有其他复核人，则该用户执行高危命令时只能由其他的复核人进行复核；如没有其他复核人，则该用户执行的高危命令不需要复核。
   • 复核人的选择不受部门分权的限制，即下级部门的人员也可以为上级部门人员的操作进行复核。
   • 如添加了多个用户和用户组，且互相之间有重复用户，则复核人将取所有勾选的用户和用户组之间的并集。
7. 添加操作用户，被添加的操作用户执行操作时会触发高危命令。

   操作用户默认勾选全部用户。如需单独设置操作用户，请去勾选全部用户，并单击，在弹出的对话框中选择用户或用户组页签，勾选待添加的用户或用户组。可以勾选临时操作用户，将所有临时用户也都添加到待复核的操作用户名单中。

   管理员也可以选中排除以下用户，然后选择要排除的用户。

   Note:

   • 操作用户必须是具有访问资产权限（例如审计管理员不具有访问资产权限），且可以正常登录的用户（不存在帐号过期、密码过期、被禁用），否则都无法作为操作用户：
     • 无法作为操作用户的用户，将不被显示在可勾选列表中。
     • 用户组中如包含无法作为操作用户的用户，该用户将被忽略。
     • 如只勾选了用户组，但用户组为空，或所有用户组中都只包含无法作为操作用户的用户，则该高危命令规则将无法生效。
   • 如添加了多个用户和用户组，且互相之间有重复用户，则操作用户将取所有勾选的用户和用户组之间的并集。
8. 添加资产，在被添加的资产上执行操作时会触发高危命令。

   资产默认勾选全部资产。如需单独设置资产，请去勾选全部资产，并单击，在弹出的对话框中选择资产或资产组页签，勾选待添加的资产或资产组。如添加了多个资产和资产组，且互相之间有重复资产，则将取所有勾选的资产和资产组之间的并集。

   管理员也可以选中排除以下资产，然后选择要排除的资产。

9. 添加资产帐号，仅当使用该资产帐号访问资产并执行操作时会触发高危命令。

   默认勾选全部帐号，即操作用户使用任何帐号访问特定资产时都会触发高危命令。如需单独设置帐号，请去勾选全部帐号，请在下方的对话框中，输入要添加的帐号，并按回车确定。单击该对话框也将列出运维审计系统上记录的这些资产所拥有的所有帐号，选中某个帐号或者按回车之后，该帐号将在下方列出，表示添加成功。

   管理员也可以选中排除以下帐号，然后输入要排除的帐号，多个帐号之间用英文逗号","分隔。

10. 设置生效时间。

    配置生效时间的格式如下：

    • 周：w[1-3,5,7]
    • 月：m[1,3-5,12]
    • 天：d[1,5,7,31]
    • 日期：D[20180101,20180101-20180301]
    • 时间：T[03:30-18:00]

    利用该功能，可以实现以下效果：

    • 特定的命令只在特定的时间段做限制
    • 不同的时间段对不同的命令做限制
11. 设置触发高危命令时生成事件。
    1. 设置事件级别。在下拉菜单中选中一个事件级别。

       事件级别由低到高依次为：NONE （不发送告警事件）—>DEBUG（调试级）—>INFORMATIONAL（通知级）—>NOTICE（注意级）—>WARNING（告警级）—>ERROR（错误级）—>CRITICAL（临界级）—>ALERT（警戒级）—>EMERGENCY（致命级）。

    2. 设置标题，格式为一个长度1~30的字符串。
    Note: 触发高危命令时生成事件会影响告警事件和短信通知。

    • 当触发高危命令时：
      • 如系统设置 > 系统 > 基本设置 > 告警事件中的syslog日志事件来源的命令防火墙选项被勾选，运维审计系统会将该事件发送给syslog服务器。
      • 如通知邮件事件来源的命令防火墙选项被勾选时，运维审计系统会将该事件发送邮件给设定的邮件收件人，如勾选了事件触发者，会同时发送给触发高危命令的用户。
      • 如短信配置 > 发送短信功能中的命令复核被勾选时，运维审计系统会将该事件发送短信给所有设置了手机号的复核人。
    • 仅当事件级别不低于syslog日志事件来源或通知邮件事件来源中配置的发送事件的最低级别时，才会发送相应的日志或邮件通知。
    • 此处配置的事件级别和标题，都将显示在触发高危命令后运维审计系统发送的日志、邮件、短信的内容中。
12. 确定配置无误后，单击保存，使规则生效。

完成配置后，如果在进行配置高危命令时配置有误，或者管理员后续对于用户或资产的操作对高危命令配置有影响，都会导致高危命令规则的状态异常。例如因复核人用户组中成员都没有操作复核权限，帐号过期或被禁用，用户组/资产组被清空等。此时运维审计系统会通过以下手段进行通知：

• 状态异常的高危命令名称会显示为红色。
• 所有超级管理员和配置管理员，在每次登录时右上角会收到提醒，提示哪些高危命令规则存在问题。
• 当某个操作使某条高危命令规则的状态由正常变为异常时，所有在线的超级管理员都会收到提示。
• 当操作用户访问资产并执行一条需要复核的高危命令，而没有可用的复核人时，操作执行的命令将直接失败，并且收到没有可用复核人的提示。

请管理员在收到系统提醒或收到操作用户的反馈时，及时处理状态异常的高危命令规则，保证每条规则中可用的复核人、操作用户、资产都不为空。可以单击高危命令列表中的，在弹出的窗口中，查看指定规则对应的可用的复核人、操作用户、资产有哪些。