审计日志
1. 审计日志概述
审计日志,是帮助企业IT和信息安全等部门人员获悉BI系统的安全运行状态的功能模块。
通过提供界面化的系统审计日志,方便用户更高效方便地搜索和查询审计日志数据,并允许管理员对审计日志进行下载,展开进一步分析。帮助用户识别针对BI的攻击和入侵,以及来自内部的违规和信息泄露,能够为事后的问题分析和调查取证提供必要的信息。
2. 审计日志使用场景
- 日常安全审计,感知系统安全态势
作为企业维护BI系统的IT/信息安全部门人员,需要定时了解到每一位访问系统的用户是通过什么IP访问系统的,是否存在同一个IP短时间多次尝试登录系统等问题。
- 发生违规,进行事后调查取证并追责
作为企业维护BI系统的IT/信息安全部门人员,突然收到一位用户反馈说之前访问的仪表板不存在了,期望可以通过审计日志查到是谁删除了该仪表板或者把其从仪表板访问者移除了。
- 企业级安全审计,管理员洞察全局
作为企业管理者,审计安全关乎着企业命运,需要清晰化管理与洞察,期望在“管理中心”查看审计日志,便于运维管理。
3. 审计日志使用说明
-
支持操作对象、操作者、时间进行模糊查询。
-
当前包含系统访问记录、用户操作、用户管理、权限分配以及系统运行及操作记录:
-
系统访问记录:用于记录用户访问系统包括登录成功、登出、以及登录失败相关日志;
-
用户操作记录:用于记录用户操作相关资源包括新建、修改/编辑、移动/删除、导出及导出时的文件大小和行列数等相关日志,资源包括卡片、页面、数据集、ETL;
-
用户管理记录:用于记录用户管理层面相关日志,包括用户、用户组的相关操作日志包括新建、编辑、删除等;
-
权限分配记录:用于记录用户以及资源权限分配层面相关日志,包括用户、用户组、页面、文件夹、数据集、ETL权限分配的相关日志;
-
系统运行及操作记录:用于记录系统层面运行以及操作相关日志,包括数据导出开关、域更新导出数据白名单的相关日志;
-
系统集成记录:用于企业级管理,管理员的操作也会受到跟踪与监控,在“管理中心 - 系统集成”菜单中的操作会被记录在审计日志中。
日志下载与保存期限设置:
-
允许管理员导出检索查询后的所有类型日志明细数据,导出为Excel文件;
-
允许管理员设置日志保存天数:单位为天,最少为 30天,最大为360天;
-
建议将日志保存天数设置在合理范围内,如果日志数据保存天数设置过大,则会挤占服务器存储空间。
-
- 管理员操作查看:
管理员在“管理中心 - 系统集成”菜单中的操作会被记录为审计日志,显示在“管理中心 – 运维管理 – 审计日志”中的“系统运行及操作”中,管理员可以及时查看,掌握审计情况。
4. 审计日志注意事项
-
审计日志数据的写入数据库规则是:每隔5分钟(基于服务器最近一次启动时间)或者累计到500行数据。
-
由于服务器默认会遮掩真实IP地址,因此操作者IP不一定是真实的IP地址。如果需要获取操作者IP的真实地址,请联系观远商务/观远小蜜。
-
如果日志保存天数从大改到小,例如60天到30天,那么系统会在凌晨时间自动清理过期日志且该清理操作不可逆转的,请谨慎操作。