组网及说明
不涉及
问题描述
堡垒机有操作审计功能,支持图形操作、字符操作等回放功能,这种日志保存的时长是多长?或者说占用存储空间的多少就会覆盖,能否对保存时长和占用存储空间大小进行修改?
过程分析
13.1.19 定期任务:配置审计数据清理
运维审计系统支持每天在指定时间清理N天前的审计日志。
系统挂载点/var目录主要被审计数据占用。系统管理员请及时清理审计数据以确保该目录未被占满。当/var目录不足5GB时,所有访问资产的在线会话都将会断开,且无法启动任何新的会话。运维审计系统将在/var目录使用率超过80%和不足5GB时,分别在页面上方进行告警提示。
清理的审计日志包括:
- 字符会话、图形会话和数据库会话的操作审计日志。
- 文件传输日志,如果留痕还包括传输的文件(对于使用网盘模式传输的文件,如果文件被其他用户使用则不删除)。
- 登录日志。
- 配置日志。
- 审计记录。
Note: 运维审计系统不清理在线会话的审计日志。
审计数据清理支持以下两种方式:
- 定期清理:在指定时间执行清理任务,清理指定日期之前的数据。默认不开启。
- 自动清理:在审计数据的磁盘占用率达到指定的百分比后执行清理任务,清理现存日期最早的审计数据,直到系统目录的磁盘占用降到阈值以下。默认开启,默认清理阈值为80%。
13.1.19.1 配置定期清理
- 选择系统设置
> 系统
> 定期任务 > 审计数据清理。
- 选择启用,开启审计数据清理。
- 设置定期清理时间(时和分)和天数(清理多少天以前的审计日志),完成后单击确定。
- 假设在2018年9月17日10:00执行清理任务,如果清理1天前的日志,那么清理的是9月17日00:00之前的日志;如果清理2天前的日志,那么清理的是9月16日00:00之前的日志。
- 清理审计日志时,以会话的开始时间判断审计日志是否符合清理条件。
Note: 如果要禁用该功能,可以先选中禁用,或者单击重置,然后单击确定。
配置完成后,运维审计系统每天在指定的时间清理N天之前的审计数据。审计日志清理定期任务执行后,上次执行时间将显示上次执行清理任务的时间和执行结果(包括失败原因)。审计管理员也可以在工作台 > 审计 > 事件审计 > 配置日志中查看到一条日志。
审计数据清理如果失败,所有超级管理员都将在右上角收到清理失败提醒。
- 假设在2018年9月17日10:00执行清理任务,如果清理1天前的日志,那么清理的是9月17日00:00之前的日志;如果清理2天前的日志,那么清理的是9月16日00:00之前的日志。
- 清理审计日志时,以会话的开始时间判断审计日志是否符合清理条件。
Note: 如果要禁用该功能,可以先选中禁用,或者单击重置,然后单击确定。
配置完成后,运维审计系统每天在指定的时间清理N天之前的审计数据。审计日志清理定期任务执行后,上次执行时间将显示上次执行清理任务的时间和执行结果(包括失败原因)。审计管理员也可以在工作台 > 审计 > 事件审计 > 配置日志中查看到一条日志。
审计数据清理如果失败,所有超级管理员都将在右上角收到清理失败提醒。
13.1.19.2 配置自动清理
- 选择系统设置
> 系统 > 定期任务 > 审计数据清理。
- 勾选磁盘占用达到XX时自动删除现存最早日期的审计数据。
- 设置自动清理的阈值。
取值范围为60%-90%,默认为80%。
如启用了自动清理,在Tomcat启动后,10分钟后将执行执行一次磁盘检查,后续将每隔4小时再执行一次检查。当检查到运维审计系统的系统目录(主要是审计数据)的磁盘占用达到该阈值时,将会清理审计数据。执行清理时会从现存日期最早的审计数据开始清理,直到系统目录的磁盘占用降到阈值以下。
Note: 对于在线会话的审计日志和网盘文件不会进行自动清理。如这两种文件占用空间已超过了设置的阈值,将会清除所有可以清理的审计数据。请用户自行保证不清理的文件占用的空间不会过大。
14.6 如何备份审计日志?
审计日志包括字符和图形会话日志。
- 超级管理员可以在系统设置中选择系统
> 定期任务 > 审计数据备份。
- 选择备份时间点和文件服务器。
运维审计系统会在该时间点,将前一天产生的审计日志,备份到文件服务器。关于文件服务器配置,参考如何配置文件服务器?。
14.7 如何清理审计日志?
超级管理员可以在系统设置 > 系统 > 定期任务
> 审计数据清理中配置审计日志的定期清理。
14.12 登录时如提示磁盘空间占用大于80%或不足5GB的告警如何处理?
对运维审计系统的磁盘空间占用最多的是审计日志,因此当磁盘空间占用超过80%时,可以将审计日志导出备份,并在运维审计系统上清理审计日志,具体方法如下:
- 使用超级管理员帐号登录运维审计系统。
- 选择系统设置 > 系统 > 定期任务 > 审计数据备份。
- 在手动备份界面,设置文件服务器信息后单击确定,将审计数据备份到文件服务器中。
Attention: 请确保将被清理的所有数据,都已在文件服务器上进行了备份。
- 选择系统设置 > 系统 > 定期任务 > 审计数据清理。
- 选择启用,开启审计数据清理。
- 设置定期清理时间和天数,单击确定。
设置审计数据清理任务后,运维审计系统将在每天指定的时间清理设置天数之前的审计数据,从而实现释放磁盘空间并清除告警的目的。
- 选择系统设置 > 系统 > 定期任务 > 审计数据清理。
- 勾选磁盘占用达到XX时自动删除现存最早日期的审计数据。
- 设置自动清理的阈值。
如启用了自动清理,在Tomcat启动后,10分钟后将执行执行一次磁盘检查,后续将每隔4小时再执行一次检查。当检查到运维审计系统的系统目录(主要是审计数据)的磁盘占用达到该阈值时,将会清理审计数据。执行清理时会从现存日期最早的审计数据开始清理,直到系统目录的磁盘占用降到阈值以下。
Note: 对于在线会话的审计日志和网盘文件不会进行自动清理。如这两种文件占用空间已超过了设置的阈值,将会清除所有可以清理的审计数据。请用户自行保证不清理的文件占用的空间不会过大。
14.6 如何备份审计日志?
审计日志包括字符和图形会话日志。
- 超级管理员可以在系统设置中选择系统 > 定期任务 > 审计数据备份。
- 选择备份时间点和文件服务器。
运维审计系统会在该时间点,将前一天产生的审计日志,备份到文件服务器。关于文件服务器配置,参考如何配置文件服务器?。
14.7 如何清理审计日志?
超级管理员可以在系统设置 > 系统 > 定期任务 > 审计数据清理中配置审计日志的定期清理。
14.12 登录时如提示磁盘空间占用大于80%或不足5GB的告警如何处理?
对运维审计系统的磁盘空间占用最多的是审计日志,因此当磁盘空间占用超过80%时,可以将审计日志导出备份,并在运维审计系统上清理审计日志,具体方法如下:
- 使用超级管理员帐号登录运维审计系统。
- 选择系统设置 > 系统 > 定期任务 > 审计数据备份。
- 在手动备份界面,设置文件服务器信息后单击确定,将审计数据备份到文件服务器中。
Attention: 请确保将被清理的所有数据,都已在文件服务器上进行了备份。
- 选择系统设置 > 系统 > 定期任务 > 审计数据清理。
- 选择启用,开启审计数据清理。
- 设置定期清理时间和天数,单击确定。
设置审计数据清理任务后,运维审计系统将在每天指定的时间清理设置天数之前的审计数据,从而实现释放磁盘空间并清除告警的目的。
解决方法
审计数据清理支持以下两种方式:
• 定期清理:在指定时间执行清理任务,清理指定日期之前的数据。默认不开启。
• 自动清理:在审计数据的磁盘占用率达到指定的百分比后执行清理任务,清理现存日期最早的审计数据,直到系统目录的磁盘占用降到阈值以下。默认开启,默认清理阈值为80%。
编辑评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作