1 关于本文档
本文档介绍了用户在使用运维审计系统过程中的常见问题及对应的解决方法。
1.1 格式约定
| 格式 |
说明 |
|---|
|
粗体
|
各类界面控件名称采用加粗字体表示,如单击确定。 |
|
>
|
多级菜单用 > 隔开。如选择,表示选择用户管理菜单下的用户列表子菜单。
|
2.1 运维审计系统刚启动时,访问Web界面一直等待是什么原因?
服务器刚启动时,需要一分钟左右的等待。多机复杂部署时,可能需要更长的时间。
若超过等待时间,尝试重启服务器,并继续等待几分钟。如仍无法访问Web界面,请联系技术支持处理。
2.2 运维审计系统对于各种数据是如何加密存储的?
运维审计系统针对不同的数据使用不同的加密存储策略:
- 运维审计系统自身的用户密码:未开启国密算法时,使用Bcrypt加盐单向散列算法加密存储;开启国密算法时,采用软SM3国密算法加密存储。
- 除用户密码外的所有其他密码(例如资产帐号的密码):未开启国密算法时,使用AES-256算法加密存储;开启国密算法时,采用软SM4国密算法加密存储。
- 图形会话回放文件:.rfb和.rfx格式的文件,使用自定义的编码格式存储。因此只能使用运维审计系统在线回放,通过其他方式无法解析其内容。
- 字符会话回放文件:.pb.bz2格式的文件,使用base64编码进行存储。
- 配置文件和日志:配置文件和日志中不会包含密码等敏感数据,因此不进行加密存储。
2.3 如何禁用chacha20-poly1305@openssh.com算法?
chacha20-poly1305@openssh.com算法会被漏洞扫描识别为不安全的算法,可以通过以下方法禁用:
- 登录Console控制台。
- 执行命令disableCipher,关闭该算法。
Main Menu:
1. Date and Time
2. Network Configuration
3. Patch Tools
R. Reset admin
S. SSHD Management
N. Nginx Management
A. ACL Management
U. User Connection
T. System Tools
Enter selection: disableCipher
It will restart SSHD service after disable Cipher, Are you sure [y/n]y
disable Cipher success
关闭后若要重新启用,请执行命令enableCipher。多机复杂部署时,需要在每个节点上进行配置。
2.4 为什么参数保存后空格消失?
Web页面保存配置时,会自动删除输入字符中头尾的空格。例如新建用户时,如果输入的用户名为 user
(前后都有空格),保存后系统会自动删除前后的空格,变为user。
3.1 如何进行硬盘扩容?
通过VMware软件安装:不支持硬盘扩容;通过CAS云平台软件安装:支持硬盘扩容。
硬件机型(A2210-G和A2105-G机型除外)不支持硬盘扩容。
Note: 硬盘扩容的相关操作,请参考Web配置指导中的“扩容逻辑卷”章节。
3.2 如何添加/删除网口?
硬件部署在添加网卡前请先联系销售购买板卡。虚拟化部署在虚拟环境中增加一块网卡。
-
使用超级管理员权限访问运维审计系统的Web页面,在中单击需要添加网口的节点,在该节点对应的系统状态页面中单击关机。
-
硬件部署时,在硬件设备上插入/拔出板卡。虚拟化部署时,在虚拟机设置中添加/删除网卡。
-
重新开机。
3.3 网口是否支持绑定(bond)?
支持。
请登录Console控制台,在菜单中进行配置。
3.4 HA部署时是否支持网口绑定(bond)?
支持,HA的业务口和心跳口均支持bond。需要注意的是:主备节点的bond配置不会同步,需要在主备节点上各自配置,并且主备节点的bond接口名称和成员口数量必须一致。
3.5 bond时最多支持几个成员网口
bond成员网口的数量没有限制,通常是将2个网口组成bond。
3.6 虚拟化部署的运维审计系统是否支持CPU和内存扩容?
支持内存扩容;从E6112P15版本开始,支持CPU扩容。
3.7 软RAID中如何替换硬盘?
在软RAID1模式下,支持通过Console命令从当前RAID中删除/添加硬盘,详细操作请见《Web配置指导》Console命令章节中的
REBUILDRAID命令。
Note:
- 删除硬盘时,只支持删除已经拔出的硬盘或者存在故障的硬盘。对于正常使用的硬盘,不支持删除。同时必须满足以下要求:2硬盘场景下,最多只能出现1块硬盘故障;4硬盘场景下,最多只能出现2块硬盘故障。
- 添加硬盘时,请确保已经安装同规格硬盘(容量必须相同),否则添加硬盘时会报错。
Warning: 替换硬盘必须在技术服务指导下进行,请勿自行执行。
4.2 高可靠性组网下数据如何同步?
配置数据均为实时同步。
Note: HA模式下ElasticSearch数据一天同步一次,日志文件5000毫秒同步一次。
4.3 集群部署时能否使用F5实现负载均衡?
运维审计系统集群通过内置LVS实现负载均衡,一般不建议再使用外置F5来实现负载均衡。
如果必须要用F5,可以在F5中配置集群各节点的实IP,使F5对于外部网络访问
运维审计系统的请求,在各节点直接进行调度。但如此配置会有以下影响:
- 无法有效识别外部攻击。
- LVS的调度将失去作用,当某个节点负载过高或发生异常时,无法通过LVS调度使其不承载业务。
- 使主节点/备节点不承载业务的功能将失效,如需实现该功能,需要在F5中不配置主节点/备节点的实IP。
4.4 进行初始设置时,未设置系统时间要如何解决?
授权完成后,可直接在Web界面进行修改。
还可以进入Console界面进行修改。进入菜单Date and Time进行配置。
4.5 HA部署后是否支持业务和管理隔离?
不支持。单机部署时支持。例如在2个网口分别配置业务IP和管理IP,从而实现业务和管理隔离。
4.6 HA部署后能否通过云平台修改节点IP?
HA搭建完成后,禁止通过云平台修改节点IP,否则会导致HA服务异常。如需修改节点IP,请拆除HA后再修改(此时也支持通过Web/Console修改IP)。
如果在云平台修改了HA节点的IP,会出现告警“备机不可达或备机异常”,此时请参考以下方法修复:
- 在PC上分别ping主备节点,检查主备节点是否变更了IP地址。
- 如果存在节点网络不可达,请向云平台管理员或者登录节点的Console控制台,在Network
Configuration菜单中查看网卡信息,确认是否变更了IP。如果发生IP变更,请继续以下操作。
- 如果没有发生IP变更,请排查其他项目或者联系技术支持人员。
- 通过云平台将网卡IP地址恢复到原IP。
- 按以下顺序重启主备节点:关闭备节点、关闭主节点;开启主节点、开启备节点。
- 使用虚IP登录Web界面,检查是否存在告警。
- 如果Web页面出现告警HA主机推送审计数据失败,请在主节点上手动推送审计数据到备节点。
- 登录主节点的Console控制台,输入HA
Management对应的序号并按回车。
- 输入Push audit data to
standby对应的序号并按回车。推送成功后,页面告警消失。
HA Management:
1. Enable/Disable Maintenance Mode
2. DNS Configure
3. Push audit data to standby
4. Undeploy
0. Return
Enter selection: 3
Make sure to push audit data to standby? [y/n] y
The push will start after 300 seconds
push audit data to standby success.
- 如果Web页面出现告警HA备机向主机数据同步异常,请在备节点上手动备份Postgres数据库。
- 登录备节点的Console控制台,输入HA
Management对应的序号并按回车。
- 输入Restore configuration data from
master对应的序号并按回车。同步成功后,页面告警消失。
- 在页面,检查HA节点是否处于活动状态。
正常情况下,主备节点应该处于活动状态。如果处于非活动状态,请联系技术支持人员或拆除HA后重新部署。
4.7 是否支持使用第三方工具安装运维审计系统?
除Castools工具外,不支持使用其他第三方工具安装运维审计系统。Castools工具只支持安装R6114P02及之后版本的运维审计系统。
4.8 扩展接口卡识别不出,如何处理?
当发生扩展接口卡识别不出时,请检查:
- 接口卡型号是否在产品支持的规格中。
- 清洁接口卡后,重新插拔,必要时请更换安装的槽位尝试。部分机型对安装槽位有特殊要求,例如A2105-G机型,接口卡必须安装在左侧的槽位(即Slot1~Slot3)。
5.1 升级E611XP02后,如何继续升级?
对于
运维审计系统的E6111和E6112版本,都支持安装E611XP02补丁。升级后的后续升级路径如下:
- E6111版本:安装E611XP02补丁后,将升级到E6111P02版本。后续支持升级到E6112版本及以后的版本。
- E6112版本:安装E611XP02补丁后,将升级到E6112P02版本。后续支持升级到E6112P03版本及以后的版本。
5.2 接口连接网线导致升级失败?
升级前,请检查没有多余的网线连接(即插入网线的网口都正确配置了IP地址),避免在无用的网卡上插入网线,否则可能导致升级失败。
6.1 用户密码输错的锁定次数和锁定时长是多少?
默认的锁定次数是3次,默认的锁定时长是60秒。
超级管理员可以在系统设置中选择中修改默认值。
6.2 用户密码输错达到锁定次数后,管理员如何解锁?
用户密码输错达到锁定次数后,可以等待一段时间(超过锁定时长)再次登录,也可以联系管理员手动解锁。
-
管理员登录运维审计系统的Web界面。
-
在中单击待解锁帐号对应的编辑
-
单击编辑用户对话框右下角的解除锁定,并在弹出的对话中单击确定完成解锁。
6.3 用户更换手机后如何使用手机令牌登录?
-
使用超级管理员登录运维审计系统。
-
选择。
-
选择相应用户,单击编辑。
-
勾选下次登录时重新绑定手机令牌,单击保存。
-
登录相应用户,重新绑定手机令牌。
6.4 用户通过动态令牌无法登录运维审计系统
超级管理员或具有系统设置权限的自定义管理员按照以下步骤排查。
Note: 如系统中只存在一个超级管理员admin,且该用户无法登录,可以在Console控制台中执行
Reset
admin操作重置admin用户。重置后,admin用户的认证方式会被重置为
本地密码,密码会被重置为
admin,角色、手机号和状态信息也都会恢复为出厂状态。
如当前不允许重置admin用户,或按本节的操作无法解决问题,请联系技术支持进行解决。
-
确认运维审计系统中配置的令牌SN与用户实际使用的令牌SN一致。
-
确认配置动态令牌配置时,输入了正确的Key。
Note: 如果之前录入时是采用手动输入的方式,建议通过复制粘贴的方式重新录入Key。
-
检查此运维审计系统中配置的其他动态令牌能否正常登录。
- 使用其他动态令牌无法成功登录:说明运维审计系统的系统时间错误,请在中,修改运维审计系统的系统时间。
- 使用其他动态令牌可以成功登录:说明该动态令牌的配置存在问题,请继续排查。
-
如果以上方式均无法解决,可能是动态令牌本身的时钟偏移过大,需要更换令牌。
6.5 用户由于帐号到期或者密码到期而无法登录时如何处理?
需要联系管理员进行有效期的延长。
-
使用超级管理员登录运维审计系统。
-
选择。
-
选择相应用户,单击编辑。
-
延长帐号有效期或者密码有效期。
6.6 输入密码时,是否显示密码?
不显示。是为了保障帐号的安全,输入完密码后按回车键,完成密码输入。
7.1 如何重置超级管理员帐号admin?
- 使用私钥文件,登录运维审计系统的Console控制台。
推荐通过SSH客户端登录Console控制台,登录端口为8022。
- 选择,进行admin帐号重置。
7.2 是否支持与第三方身份认证平台对接?
支持。例如支持对接AD、LDAP、Radius、CAS、SAML等第三方认证平台。
7.4 本地密码认证方式默认的密码强度是多少?
默认本地密码方式认证的密码强度是最小6位,无复杂度限制。
超级管理员可以在Web中选择中修改默认值。
7.5 手机令牌的时间是否要与北京时间一致?
需要。
运维审计系统的时区为东八区时间,因此运维审计系统的系统时间需要和北京时间一致。
7.6 签发USB Key时提示:可用内存不足,无法完成该命令
说明该USB Key签发的用户数量超出USB Key管理工具的限制。请更换USB Key,再次签发。
Note: USB Key支持的最大用户数量,请参考此USB Key的相关说明。
7.7 如何找回“验证USBKey密码”弹窗?
当使用谷歌浏览器签发USBKey,在出现验证USBKey密码弹窗时,如果此时切换窗口,将该弹窗置于后台,该弹窗将不能正常返回前台显示。此时更换浏览器,也无法重新显示该弹窗。
如果遇到以上情况,请将浏览器最小化,找到弹出的窗口。
7.8 如何重置普通USB Key密码?
- 将USB Key设备插入本地PC的USB接口中。
- 在右下角任务栏中,双击USB Key图标。
- 在弹出的管理工具页面,单击初始化,对密码进行初始化。
- 单击修改密码,重置密码。
7.9 USB Key用户多次输入错误PIN码,系统提示远程解锁,如何处理?
用户多次输入错误PIN码后,系统会出现以下界面。
8.1 支持管理哪些类型的资产?
支持以下类型的资产:
- 主机:Linux、HP UX、IBM
AIX、SUSELinux、KylinLinux(银河麒麟)、UOS(统信)、IBM AS/400和Windows
- 网络设备:Cisco IOS、Huawei Quidway、Juniper NetScreen、H3C
Comware和General Network
- 数据库:Oracle、MYSQL、MSSQL、DB2、 DaMeng、Gbase、Mongo、 Kingbase、PgSQL、
GaussDB和TaurusDB
- 应用系统:B/S、C/S、Weblogic和B/S
IE
8.2 是否支持扫描指定IP段来自动发现资产?
从R6114P03(含)版本开始,支持通过扫描IP段来自动发现资产。目前只支持主机和网络资产。
8.3 如何指定创建资产时默认添加的服务?
-
选择。
-
选择相应资产类型,单击编辑。
-
在字符终端或者图形终端的下拉框中,选择默认添加服务。
8.4 如何批量添加服务?
超级管理员和配置管理员可以在中单机协议配置批量添加服务。
Note: 仅主机和网络资产,支持批量添加服务。
8.5 为什么Web界面中会存在名字相同的资产?
由于HTML的显示策略,在Web页面的任意输入栏中输入一个或多个空格,最终显示效果都为一个空格。
- 例如设置资产名为w w(中间3个空格),Web会显示w w(中间1个空格)。
- 例如设置资产名为w w(中间1个空格),Web会显示w w(中间1个空格)。
因此,当在Web界面上看到名字相同的资产,但实际这两个资产名却不同。此外,不仅局限于资产名称,像权限名称等任何支持在页面上输入的参数,都可能存在类似问题。建议在设置以上参数时,尽量避免使用空格,可使用“-”、“_”等符号代替。
8.6 多租户场景下,不同租户的资产/用户权限名称是否可以相同?
9.2 如何修改变更单中的规则模板?
-
选择。
-
选择相应的变更单,单击详情。
-
修改规则模板。
10.1 AccessClient支持的操作系统有哪些?
推荐使用以下操作系统,其他操作系统可能存在兼容性问题,不推荐使用。
- Windows XP SP3 x86
- Windows 7 SP1 x86/x64
- Windows 8.1 x86/x64
- Windows 10 x86/x64
- macOS 10~14
使用macOS时,还需要关注以下事项:
- 从macOS
13开始,操作系统将不再保留python环境,不支持升级检测,访问资产前必须手动升级AccessClient(删除旧版本然后重新安装新版本)。
- macOS访问资产时,初始终端标题中的“/”会被替换为“:”;MRD会话标题会截取前128个字符显示。
- FileZilla不支持自定义路径配置,只有安装在默认路径(即/Applications),才能正常调起。
- 从Safari 15开始,浏览器对WSS校验更加严格,容易发生被拦截而无法使用WebSocket相关功能。推荐使用Chrome浏览器进行运维操作。
Note: 由于Windows
XP系统从E6112P05版本开始不支持AccessClient,因此对于XP系统,不支持在Web界面中调用客户端访问资产,仅支持web方式访问资产,或通过客户端直连运维审计系统并访问资产。
10.2 能否使用手机、平板等终端使用运维审计系统?
10.3 运维审计系统支持的终端软件有哪些?
- Xshell
- Putty
- Terminal (MacOS)
10.5 调用的访问工具(例如putty)选错了应用程序时如何修改?
MacOS用户删除~/.local/accessclient.conf文件即可,Windows用户请按下列方法处理:
- 找到已选择的错误应用,临时修改可执行程序的名称。
- 重新在设备访问中尝试启动。
- 将错误应用的可执行程序改回原来的名称。
10.6 如何配置默认帐号?
-
在访问资产中找到要访问的资产,单击访问,选择需要的系统帐号,
-
单击启动,成功访问后,下一次将使用该帐号作为默认帐号
- Optional:
单击收藏后,可以在中快速访问。
10.7 self帐号和any帐号有什么区别?
- self:是指使用登录运维审计系统的同名帐号登录目标资产。
- any:是指不进行密码代填,允许自行输入任意帐号。
10.8 为什么无法访问Web上的资产?
请确保安装了AccessClient。
-
单击页面右上角的用户帐号,单击帮助。
-
选择。
-
在本地计算机安装AccessClient。
Note: 请确保本地计算机的安全软件没有拦截AccessClient。
10.9 如何访问Linux/Unix的图形桌面?
运维审计系统不支持X11Forwarding,需要运维审计系统管理员为目标资产添加XDMCP或者Xfwd服务。
10.10 如何消除ShellMenu的中文乱码?
使用SSH客户端直连运维审计系统时,运维审计系统列出的设备列表被称为ShellMenu。
乱码问题是因为本地SSH客户端的编码和运维审计系统的不一致。
-
方法一:修改本地SSH客户端的编码类型与运维审计系统一致。
-
方法二:修改运维审计系统的编码。
-
选择。
-
修改终端字符编码。
10.11 SSH直连模式下是否有快捷操作以及技巧?
| 使用场景 |
输入 |
说明 |
|---|
| 最外层资产分
类列表菜单 |
q |
退出登录运维审计系统
|
| l |
切换语言(从中文到英文,或从英文到中文) |
| r |
重新加载数据 |
| /设备IP、名称或说明 |
过滤设备 |
| 目标资产列表菜单 |
i |
按IP排序 |
| a |
按设备名称排序 |
| /设备IP、名称或说明 |
过滤设备 |
| 任意子菜单 |
直接按回车键 |
返回上一级菜单 |
| 断开到设备的会话后 |
直接按回车键 |
回到资产分组列表菜单 |
| r |
重新连接到已断开的会话 |
| q |
退出登录运维审计系统
|
Note: 资产分类列表的显示可以在中设置。仅当满足以下条件之一时,连接后才会进入资产分类列表,否则将直接进入未分类的
目标资产列表菜单。
- 直连分类方式为资产类型。
- 直连分类方式为资产组,且支持SSH远程访问的资产加入了资产组。
- 直连分类方式为责任人,且支持SSH远程访问的资产设置了责任人。
10.12 访问数据库时能否调用本地PC上的plsql等工具?
10.13 Windows访问时红色的报错信息是什么意思?
说明运维审计系统在连接目标资产时出现了异常,通常是因为运维审计系统到目标资产的网络不通,或者帐号密码错误,建议联系管理员。
10.14 RDP会话如何上传下载文件?
- Windows 2008及以上版本:可以直接通过剪切板进行文件上传和下载。
- Windows 2003:请使用磁盘映射方式进行文件的上传和下载。
10.15 Linux会话如何上传下载文件(包括大文件)?
对于2GB以内的小文件可以在ssh会话中通过rz和sz命令进行文件上传和下载。
对于大文件可以通过sftp的方式进行文件的上传和下载。
10.16 VNC Viewer代填失败时如何处理?
如果帐号较多,不希望每个帐号都执行一遍以下操作,可以新建一个公用帐号,该帐号执行以下操作后使用这个公用帐号进行代填。
-
单击右上角用户帐号(例如admin),选择系统设置。
-
选择。
-
单击查看帐号,选择代填失败的帐号,单击登录。
-
选择对应的应用发布服务器,单击启动。
-
远程登录成功后,双击打开VNC Viewer,在VNC
Server中输入IP:端口,单击Connect,在弹出的提示框中勾选Don’t
warn me about this
again,单击Continue。
- IP:目标资产的IP地址。
- 端口:目标资产的VNC服务端口,如果是缺省的5900可以只输入IP不输入端口。
-
在Password中输入密码,单击OK建立连接。
操作完成后,发现使用VNC Viewer代填该帐号能够成功。
10.17 应用代填时,因框体位置问题或输入法设置而引起代填失败如何解决?
访问数据库或应用系统资产时,如已打开了应用客户端界面,但帐号和密码代填失败,可能是由于以下原因:
- 输入法或一些其他应用的窗口遮挡了客户端代填的界面。
- 应用客户端窗口被拖动到了边缘位置或因缩放/拉伸而引起代填失败。
- 部分应用在使用中文输入法时会引起代填失败。
解决该问题,有以下两种方式:
使用以上方法处理成功后,该用户再次访问资产并执行代填时将会代填成功。
10.18 使用浏览器访问应用系统资产启动失败如何解决?
使用浏览器访问应用系统资产时,单击
访问后,无法启动对应的应用客户端。该问题可能有以下原因:
- AppServer配置工具中填写的程序路径不正确。
- 使用Chrome浏览器时访问时,应用发布服务器未安装JAVA。
- 浏览器版本不正确。
前两种原因会报错:系统找不到指定的路径;第三种原因不会报错,只会尝试启动一段时间后没反应。排查方法如下:
-
检查应用发布服务器AppServer配置工具中填写的程序路径是否正确。
请登录到应用发布服务器,在中可以找到对应的程序,单击后可以在右侧详情中检查程序路径是否正确。如路径错误,删除该并重新发布该应用,从正确的路径中拖入程序。
-
打开1中找到的程序路径中的浏览器,查看浏览器版本是否满足要求。
应用发布服务器支持的浏览器请参见《Web配置指导》中的“资产访问兼容性列表”章节。
-
使用Chrome访问启动失败时,检查是否安装了JAVA。
10.19 如何限制RDP会话只支持TLS 1.0/1.1/1.2协议?
当用户通过RDP协议连接
运维审计系统时,
运维审计系统默认不对安全层协议的版本进行限制。包括使用RDP客户端直连
运维审计系统,或通过Web界面启动mstsc方式的RDP会话的场景。
但旧的安全层协议,例如SSL协议,存在较多的安全风险,如不对其进行限制,则可能导致安全问题。相对于运维审计系统和资产之间的连接来说,客户端到运维审计系统之间的连接会存在更大的风险。因此运维审计系统支持对客户端到运维审计系统的RDP连接的安全层协议进行限制。具体的配置方法如下:
配置运维审计系统仅支持TLS 1.2
-
使用超级管理员登录运维审计系统的Web界面。
-
选择。
-
设置是否开启tls为是,并单击确定。
Attention: 该选项变更会重启RDP服务,导致当前在线的使用mstsc方式的RDP会话全部被断开。
该选项开启表示客户端与运维审计系统建立RDP连接时,必须使用TLS协议(E6112P13及以后的版本必须使用TLS 1.2协议)。执行该操作后,如果用户使用的本地PC不支持对应的协议,则通过mstsc客户端直连运维审计系统或在Web界面启动RDP会话时,建立会话将失败。
配置运维审计系统支持TLS 1.0和1.1(不推荐)
Note: 对于E6112P20及以后的版本支持。
当是否开启tls为是时,也支持设置开启TLS
1.0和1.1协议,请参考以下步骤进行设置。非单机部署时,需要在各个节点上分别执行以下命令。
-
登录运维审计系统的Console控制台。
-
在控制台主界面执行enable rdp tls 1.0或enable rdp tls
1.1命令,并输入y进行确认,开启TLS 1.0或1.1。
Attention: 执行该操作会重启RDP服务,导致当前在线的使用mstsc方式的RDP会话全部被断开。
例如:
Main Menu:
1. Date and Time
2. Network Configuration
3. Patch Tools
R. Reset admin
S. SSHD Management
N. Nginx Management
A. ACL Management
U. User Connection
T. System Tools
Enter selection: enable rdp tls 1.0
The change will restart the XRDP service and disconnect all online RDP client sessions. Continue? [y/N] y
Note:
- 执行该操作前,必须保证已设置是否开启tls为是,否则命令执行将失败。
- 执行该操作后,如需关闭TLS 1.0或1.1,请执行disable rdp tls
1.0或disable rdp tls
1.1命令关闭对对应的协议支持。这些命令同样会导致当前在线的使用mstsc方式的RDP会话全部被断开。
- Windows XP系统的远程组件不支持TLS 1.0,因此开启该功能后,仍无法正常使用Windows
XP系统的客户端进行RDP访问。
10.20 是否支持远程访问开启FIPS功能的Windows资产?
不支持。Windows资产开启FIPS后,将不能远程访问,请关闭FIPS功能。
10.21 在最新版本的macOS上AccessClient启动之后闪退,如何处理?
当前AccessClient不支持12.3及以上版本的macOS。在这些版本的macOS上运行AccessClient后会发生闪退,推荐采用以下方式开展运维:
10.22 Windows服务器设置拒绝所有域帐号传入NTLM流量后,无法使用运维审计系统访问
对Windows服务器设置拒绝所有域帐号传入NTLM流量后,使用运维审计系统访问Windows域时,出现报错此计算机无法连接到远程计算机。
该问题引起的原因可能是:Windows服务器已开启NLA,Windows下的网络身份认证包含NTLM和Kerberos两种方式,由于运维审计系统默认只支持NTLM认证,因此禁用NTLM后,无法访问Windows资产。
所以,当启用NLA时,需确保开启NTML:进入Windows服务器的应用菜单,在中,将网络安全:限制NTML:传入NTML流量设置为允许所有。
10.23 直连访问资产时提示“未找到记录”,如何处理?
通过部分字符终端直连访问资产,如果连接信息中含有中文字符,访问失败,提示“未找到记录”。
用户在字符终端中输入的中文编码,由本地PC的编码决定。当本地PC的编码不是UTF-8时,可能会引发该问题。如果遇到此问题,请尝试使用以下方法解决:
- 尝试使用Xshell6及以上版本的字符终端。
- 避免在连接信息中出现中文,例如修改资产名为英文字符等。
- 修改访问方式,例如通过Web方式访问。
- 修改本地PC的编码为UTF-8。
Note: 修改本地PC的编码可能会导致其他显示异常,请谨慎使用。
以Windows10操作系统为例,修改本地PC的编码的操作如下:
- 单击开始,选择。
- 单击相关设置中的管理语言设置。
- 单击更改系统区域设置,勾选使用 Unicode UTF-8
提供全球语言支持。
- 单击确定,并按提示重启系统使配置生效。
10.24 Firefox浏览器H5方式访问资产,为什么CTRL+C/CTRL+V快捷键不生效?
使用Firefox浏览器访问
运维审计系统,然后再通过H5方式访问资产,要实现CTRL+C/CTRL+V的复制/粘贴功能,需要在Firefox浏览器中进行如下设置:
- 在Firefox浏览器的地址栏中输入about:config,按回车键。
- 在搜索框中依次搜索以下配置项dom.events.testing.asyncClipboard、dom.events.asyncClipboard.dataTransfer、dom.events.asyncClipboard.readText,并且将以上配置项全部设置为true。
Note: 如果需要选择数据类型,请选择布尔类型。
- 使用Firefox浏览器重新登录运维审计系统,检查问题是否解决。如果问题仍然存在,请联系技术支持处理。
10.25 哪些资产支持批量启动?
支持批量启动的条件:
- 必须为同一资产类型(不同数据库/应用系统之间算不同资产类型)。
- 对于主机/网络资产,选定的资产必须存在相同的访问协议/帐号,并配置了对应的权限;对于数据库/应用系统资产,选定的资产必须配置了相同的客户端/帐号,并配置了对应的权限。
- 批量启动web会话时,浏览器默认会拦截第一个会话之外的其他会话。此时需要手动将浏览器的拦截规则设置为始终允许该页面弹出会话。
Note: 批量启动应用发布资产时请采用非remoteapp方式,否则可能会发生输入框相互遮挡而导致代填失败。
不同资产支持的批量启动情况,如下表所示。
表10.1 主机资产批量启动支持情况| 资产类型 |
协议 |
支持情况 |
|---|
| Windows |
RDP |
支持 |
| Windows |
VNC |
默认不支持。只有资产同时配置了其他协议和VNC协议,快捷访问图标为VNC协议并且托管帐号密码时,才支持批量启动。 |
| Linux/UOS/KylinLinux/SUSELinux |
SSH/Telnet/XDMCP/XFWD |
支持 |
| Linux/UOS/KylinLinux/SUSELinux |
VNC |
默认不支持。只有资产同时配置了其他协议和VNC协议,快捷访问图标为VNC协议并且托管帐号密码时,才支持批量启动。 |
| Linux/UOS/KylinLinux/SUSELinux |
SFTP |
默认不支持。只有资产同时配置了SSH协议和SFTP协议,快捷访问图标为SFTP协议并且托管帐号密码时,才支持批量启动。 |
| HP UX |
SSH/Telnet |
支持 |
| IBM AIX |
SSH/Telnet |
支持 |
| IBM AS/400 |
TN5250 |
支持 |
表10.2 网络设备批量启动支持情况| 资产类型 |
支持批量启动的协议 |
|---|
| Cisco IOS |
SSH/Telnet |
| Huawei Quidway |
SSH/Telnet |
| Juniper NetScreen |
SSH/Telnet |
| H3C Comware |
SSH/Telnet |
| General Network |
SSH/Telnet |
表10.3 应用系统批量启动支持情况| 资产类型 |
支持批量启动的访问客户端 |
|---|
| B/S |
Chrome / Firefox / Edge |
| B/S IE |
IE |
| Weblogic |
Chrome / Firefox / Edge |
| C/S |
Radmin / SQL Advantage / Sybase Central / VpxClient/ ASDM / VNC Viewer / Robo3T /
DM管理工具(DM Manager) / WinSCP |
表10.4 数据库批量启动支持情况| 资产类型 |
支持批量启动的访问客户端 |
|---|
| Oracle |
Toad / SqlDbx / SQL Plusw / PLSQL Developer / OEM / Navicat Premium /
DbVisualizer |
| MySQL |
SQLyog / Navicat / Navicat Premium 16 / DbVisualizer |
| MSSQL |
Ssms / Ssms18 / DbVisualizer |
| DB2 |
SqlDbx for DB2 / QuestCentral / Toad for DB2 / DbVisualizer |
| DaMeng |
dbvis_dm6 / dbvis_dm / DMManager |
| Kingbase |
dbvis_kingbase |
| Gbase |
Navicat_Premium_16_Gbase |
| Mongo |
MongoDB Compass / Robo3T |
| PgSQL |
navicat_for_pg |
| GaussDB |
Navicat Premium 16 |
| TaurusDB |
Navicat Premium 16 |
Note: 批量启动Navicat Premium 16客户端访问GaussDB数据库时,建议使用Windows Server 2022的应用发布服务器。
10.26 访问B/S或C/S资产时出现登录窗口,如何处理?
访问B/S或C/S资产时,如果出现登录服务器窗口(如下图),通常是因为应用发布服务器上安装了域控,请使用不带域控的服务器作为应用发布服务器。
判断是否是域控服务器的方法:在Windows命令提示符下运行命令
nltest
/dsgetdc:%userdomain%。如果出现DC信息,则为域控服务器;如果没有出现DC信息,则为普通服务器。
C:\Users\Administrator> nltest /dsgetdc:%userdomain%
DC :WIN2008.example.com
Address :\\192.168.1.130
Dom Guid:7e26*-*-*-811f-*0ede48
Dom Name :example.com
Forest Name :example.com
Dc Site Name :Default-First-Site-Name
Our Site Name :Default-First-Site-Name
Flags:PDC GC DS LDAP KDC *** DS 8 DS 9 DS 10
The command completed successfull
10.27 通过H5访问字符资产过程中,是否可以修改浏览器分辨率?
不推荐修改,否则可能会导致命令行显示异常,但是不会影响命令的执行。
10.28 文件上传到网盘的子文件夹后,为什么找不到文件?
当Windows资产通过H5会话向网盘的子文件夹中上传子文件时,会导致文件丢失。此时,请不要向网盘的子文件夹上传文件。
11.1 审计数据能否导出并离线播放?
系统中支持导出的审计数据有以下几种:
- 从Web页面中导出的图像会话审计数据。在中导出,支持通过GuiPlayer.exe工具离线播放。
- 从Web页面中导出的字符会话审计数据。在中导出,不支持离线播放。
- 备份到文件服务器中的审计数据(包括字符/图形/数据库会话和文件传输)。从文件服务器上拷贝审计数据到本地PC后,支持通过离线审计工具播放。
Note:
- GuiPlayer.exe工具可以在中下载。
- 离线审计工具可以在中下载,详情请查看《Web配置指导》中的“使用离线审计工具”章节。
11.2 为什么报表中的数据为空?
部分报表中的数据是增量显示,如果本次数据和上次数据没有变化,那么本次报表数据为空是正常现象。
11.3 审计记录中为什么会出现.crdownload/Zone.Identifier的文件记录?
问题:发布B/S应用,映射本地磁盘进行写入操作后,审计记录中为什么会出现.crdownload/Zone.Identifier的文件记录?
回答:.crdownload/Zone.Identifier文件是由操作系统/浏览器软件自身机制所产生。
- Zone.Identifier文件:一个用于标记文件来源和安全区域的特殊文件。它在Windows操作系统中使用,用于指示文件的来源是否可信。当从互联网或其他不可信的来源下载文件时,Windows操作系统会自动生成Zone.Identifier文件。
可以通过以下方法关闭Zone.Identifier:
- 在Windows操作系统中按Win+R键打开运行窗口,运行gpedit.msc打开本地组策略编辑器。
- 在中,启用文件附件中不保留区域信息。
- 单击确定。
- .crdownload文件:一种浏览器(例如Chrome)使用的临时下载文件,用于在文件下载过程中将文件的内容先保存到本地磁盘上,等待下载完成后再将文件重命名为原始的文件名。
目前暂无方法关闭该机制。
11.4 审计记录中为什么会出现重复的记录?
运维审计系统每次接收到客户端发送的操作记录,都会记录成对应的审计日志。如果客户端发送重复的操作记录,会导致运维审计系统也重复记录。例如使用OEM客户端访问Oracle资产,剪切板上行操作后,OEM客户端会发送重复的操作记录。这时候,运维审计系统也会重复记录审计日志。
11.5 查看命令回放时为什么会出现显示错乱?
如果操作员在访问过程中调整了字符客户端(例如Putty/Xshell等)的窗口大小,会导致查看命令回放时出现显示错乱。可以通过以下方法处理:
- 选择从头开始回放,即在页面中单击操作列中的回放:此时会自动调整窗口大小,不会出现显示错乱。
- 当出现显示错乱时,手动调整窗口大小。
12.1 改密后的密码如何保证安全性?
运维审计系统支持通过ZIP密码和PGP两种方式,对密码文件进行加密。
12.2 改密时如何保证密码完整性?
改密前运维审计系统会先备份当前密码,如果备份失败将终止改密。同时对于上次改密失败的帐号,要求管理员先在中,选择对应的资产帐号,单击进行登录测试并成功后才能进行改密。改密后运维审计系统会自动进行登录测试,并将改密前后的密码进行备份。
12.3 改密计划执行后是否会把所有托管帐号的最新密码发出来?
12.4 改密任务的并发是多少?为什么改密需要花很长时间?
改密任务的并发是运维审计系统CPU核数的2倍。这个并发数无法调整。
如果改密计划中存在很多连接或者登录慢,或者无法登录的设备,会因为等待登录超时导致改密任务执行时间长。
12.5 帐号改密处的帐号登录测试只有状态,为什么没有详细信息?
帐号改密中仅校验密码是否正确,不检验访问协议是否通。比如对Windows密码的校验并不是通过RDP协议进行的。
12.6 资产管理和帐号改密中的登录测试功能,测试结果为何不一致?
资产管理和帐号改密中的登录测试功能实际使用的测试方法不同。
资产管理中对于主机和网络资产的登录测试,会采用和用户访问资产同样的方式进行,并且登录成功与否由用户根据看到的现象自行判断。
帐号改密中的登录测试,Windows资产会使用RPC登录,Linux资产会使用后台登录,并对登录提示符进行检查,登录测试完成后会反馈登录结果,即是否登录成功。
因此如果两处的登录测试结果不同,属于正常现象。对于Windows资产登录测试不一致,请分别检查资产的RDP及RPC配置;Linux资产如果在资产管理中可以正常完成登录测试,但在帐号改密中登录测试失败,请检查是否为登录提示符不匹配的问题,并为该资产配置资产适配。
13.1 哪些程序是调用本地的,哪些是应用发布服务器上的,如何区分?
访问时使用RDP(mstsc方式)、SSH、Telnet、SFTP和TN5250协议的均时调用本地客户端;访问时使用RDP(web方式)、XDMCP、Xfwd和VNC协议,运维审计系统将直接通过本地浏览器打开会话。
其它的都是调用应用发布服务器上的客户端程序。
区分的方法是看是否启动了RemoteAPP或者程序是否是在远程桌面客户端中打开的。
13.2 应用发布帐号同步和不同步的区别?
- 同步:表示运维审计系统将自动同步用户登录运维审计系统的同名帐号到应用发布服务器,并采用该帐号登录应用发布服务器打开应用。
- 不同步:表示所有人访问特定应用时都使用同一个指定的帐号登录应用发布服务器。
当设置为同步时,
运维审计系统中的用户名必须满足以下条件:
- 不超过20个字符
- 不包括以下特殊字符\"/,[]:|<>+=;?*@
- 不能以.结尾,例如abc.
13.3 是否支持对应用发布服务器做负载均衡?
支持。
运维审计系统中存在多台应用发布服务器时,访问相同标识的应用时,运维审计系统将根据应用发布服务器的负载情况自动进行负载均衡。
13.4 应用程序关闭后,再次重连还能连接原来的会话吗?
13.5 为什么PL/SQL登录的数据库名字不是真实的?
通过运维审计系统访问数据库时,PL/SQL需要先连接运维审计系统上的数据库审计代理,因此看到的数据库名不是真实的。
13.6 PL/SQL代填提示TNS无法解析指定的连接标识符是什么原因?
PL/SQL
Developer默认会以参数方式对用户名、密码等项目进行代填。当密码中含有@字符时,会导致PL/SQL参数方式的代填解析错误。此时请使用AppAuto(自动化脚本代填)方式。
请使用超级管理员登录
运维审计系统,在中,单击
plsqldev对应的
编辑,对使用的代填脚本进行更换:
- Windows2008:使用PLSQLDeveloper_auto.json
- Windows2012和Windows2016:使用PLSQLDeveloper_auto_win2012.json
13.7 应用发布服务器发布的浏览器,对浏览器做的设置是否生效?
应用发布服务器发布的Chrome、Firefox以及Edge浏览器,管理员在应用发布服务器上对浏览器做的设置不生效;用户在浏览器上做的设置(例如修改下载路径),在下次访问时也不生效。
IE浏览器不存在以上问题。
13.8 使用RemoteAPP方式成功访问数据库资产后关闭会话,审计中依然存在在线会话?
可能原因,安装Winlogon时没有勾选
注册WinMonitor。
在应用发布服务器中Winlogon的安装路径中(例如C:\Winlogon),双击config检查是否勾选注册WinMonitor。
- 如果没有勾选,请勾选后单击确定,然后重启WinSync Service服务(登录应用发布服务器,在中重启)。
- 如果已经开启,请重新开启(先去勾选后单击确定,然后重启WinSync
Service服务;再勾选上后单击确定,再重启WinSync
Service服务)。
13.9 图形会话分辨率生效的规则是什么?
- 使用RemoteApp时,打开应用时会读取本地PC分辨率(假如应用本身分辨率为1024 x
768):当本地PC分辨率小于此值时,应用会根据自身的机制进行缩放,可能会导致显示不全(不由运维审计系统决定和控制);当本地PC分辨率大于此值时,应用最多只会使用1024 x 768分辨率,不会达到本地PC的分辨率。
- 使用非RemoteApp时,分辨率在运维审计系统的访问页面选择(假如应用本身分辨率为1024 x
768):当选择分辨率小于此值时,应用会根据自身的机制进行缩放,可能会导致显示不全(不由运维审计系统决定和控制);当选择分辨率大于此值时,应用最多只会使用1024 x 768分辨率,不会达到选择的分辨率。
13.10 PL/SQL登录数据库后,标题栏中显示的字符串什么含义?
问题:PL/SQL登录数据库后,标题栏中显示的字符串什么含义?
回答:显示的格式是“数据库用户@hostname/资产ID”。其中hostname会记录在应用发布服务器hosts文件中,作为运维审计系统数据库审计服务IP对应的域名。
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
10.2.2.2 helowin-10.2.234.8
13.11 打开应用时提示软件需要激活,如何处理?
问题:对于某些发布的应用(例如Navicat、PL/SQL),在应用发布服务器上已经进行了软件激活。用户使用该客户端时,依然出现软件需要激活的提示,应该如何处理?
回答:产生这个问题的原因是应用发布服务器存在限制,其他用户调用时无法直接同步激活信息。可以通过以下方法规避:在中,编辑对应的客户端,手工指定执行的帐号为已经激活该软件的用户。
13.12 如何代填访问DB2?
推荐使用SqlDbx for DB2 4.17英文版来访问DB2,要实现访问代填,需要进行以下配置:
- 在应用发布服务器上安装DB2客户端,推荐精简安装。
通过SqlDbx代填访问时,需要依赖DB2客户端。
- 在应用发布服务器上创建数据库编目。
在连接资产时,SqlDbx通过数据库编目中的“数据库别名”对应的连接信息连接DB2。
- 在DB2客户端的安装路径中,执行db2cmd.exe(默认路径为..\IBM\SQLLIB\BIN)。
- 执行以下3个命令,添加数据库编目。
db2 catalog tcpip node 节点名 remote DB2的IP server DB2的端口 remote_instance 数据库实例名
db2 catalog database 数据库实例名 as 数据库别名 at node 节点名
db2 terminate
实际样例:
db2 catalog tcpip node nodedb2 remote 10.1.1.1 server 50000 remote_instance db2vpn
db2 catalog database db2vpn as db2test at node nodedb2
db2 terminate
其中数据库别名(db2test)、DB2的IP(10.1.1.1)、DB2的端口(50000)需要和运维审计系统中创建DB2资产时的以下取值保持一致。
- 参考《应用发布配置指导》,完成SqlDbx应用发布。
13.13 添加C/S资产时,如何配置navicat_for_pg客户端的代填参数?
添加C/S资产时,选择navicat_for_pg客户端访问PostgreSQL14数据库的代填参数配置如下:
- InitialDatabase:初始数据库。没有配置时会使用缺省值postgres。
- port:数据库端口。没有配置时会使用缺省值5432。
- 连接名:不需要配置,系统会自动设置为“帐号@资产IP”。为保证代填成功,代填时系统会自动删除连接名中的以下非法字符(如下图)。
14.1 如何关机或者重启系统?
Note: 推荐通过Web界面和Console控制台进行关闭/重启操作。
14.1.1 单机部署
单机部署下的运维审计系统,如需关机,请务必使用以下几种方式之一进行:
- 在运维审计系统Web界面的中单击关机。
- 在运维审计系统的Console控制台中执行操作。
- 对于硬件机型,短按机箱中的关机按钮。
Attention: 如果需要拔掉电源,以上动作都需要等待设备的运行指示灯熄灭后,才可以进行。
以下关机方式,均属于异常关机:
- 在设备机箱后面板中,长按关机按钮。
- 在有reset按钮的设备机箱面板中,按reset按钮。
- 强制断电或异常掉电。
单机部署下的运维审计系统,如需重启,请务必使用以下几种方式之一进行:
- 在Web界面的中单击重启。
- 在运维审计系统的Console控制台中执行操作。
- 执行关机操作后,再执行开机操作。
14.1.2 HA部署
HA部署下的
运维审计系统,如需
关机,请按照以下步骤执行:
- 关闭备节点
- 关闭主节点
关机方式请参考
单机部署。
关机后,如需再次开机,请按照以下步骤执行:
- 开启主节点
- 开启备节点
开机方式如下:硬件机型,请按设备面板的开机按钮;虚拟化机型,请在虚拟化平台中打开系统电源。
HA部署下的运维审计系统,如需重启,请按照上述步骤,先关机再开机。
14.1.3 集群部署
集群部署下的
运维审计系统,如需
关机,请按照以下步骤执行:
- 在Web界面或Console控制台中开启维护模式。
- 参考单机部署下的关机方式,关闭集群各个节点。
关机后,如需再次开机,请按照以下步骤执行:
- 开启集群各个节点。
- 在Web界面或Console控制台中关闭维护模式。
集群部署下的
运维审计系统,如需
重启,除了按照上述步骤先关机再开机外,还可以通过以下方式执行:
- 在页面,开启维护模式。
- 直接单击重启集群。
Note: 集群重启完成后,会自动关闭维护模式。
14.1.4 总分部署
总分部署下的
运维审计系统,如需
关机或
重启,请按照以下步骤执行:
- 访问站点开启独立运行模式:登录各个从站点的Console控制台,选择开启独立运行模式(非单机部署的站点中,登录任一节点的Console控制台即可)。
- 先在主站点执行关机或重启操作,后在各个从站点执行。请参考上文中各种部署的要求进行操作。
- 访问站点关闭独立运行模式:登录各个从站点的Console控制台,在中选择主站点,恢复与其他站点间的同步,关闭独立运行模式(非单机部署的站点中,登录任一节点的Console控制台即可)。
14.1.5 多站点部署
多站点部署下的
运维审计系统,如需
关机或
重启,请按照以下步骤执行:
- 从站点开启独立运行模式:登录各个从站点的Console控制台,选择开启独立运行模式(非单机部署的站点中,登录任一节点的Console控制台即可)。
- 先在主站点执行关机或重启操作,后在各个从站点执行。请参考上文中各种部署的要求进行操作。
- 从站点关闭独立运行模式:登录各个从站点的Console控制台,在中选择主站点,恢复与其他站点间的同步,关闭独立运行模式(非单机部署的站点中,登录任一节点的Console控制台即可)。
14.2 如何修改运维审计系统的IP地址?
对于单机部署的运维审计系统,超级管理员可以在中修改IP地址;非单机部署的运维审计系统,不支持修改IP。
14.3 如何替换SSL证书?
超级管理员可以在中上传crt或der格式的SSL证书。其中,der格式的SSL证书包括加密和不加密两种类型。
Note: 运维审计系统不支持生成证书请求文件(csr),请在您的PKI系统中生成。
14.4 Console运维密钥每台系统都一样吗?
每台系统默认的Console运维密钥是一样的。管理员首次登录Web时,系统会强制要求修改Console运维密钥。同时后期也支持在Console控制台()中修改。
14.5 如何备份运维审计系统配置?
-
超级管理员可以在系统设置中选择。
Note: Web页面备份的配置不包括审计数据和网络配置。
-
单击下载配置。
14.6 如何备份审计日志?
-
超级管理员可以在系统设置中选择。
-
选择备份时间点和文件服务器。
运维审计系统会在该时间点,将前一天产生的审计日志,备份到文件服务器。关于文件服务器配置,参考
如何配置文件服务器?。
14.8 如何配置文件服务器?
-
选择。
-
配置FTP或者SFTP服务器后,单击确定。
14.9 是否支持对接网管平台?
运维审计系统支持通过SNMP与网管平台对接,以监控运维审计系统自身的状态。
请在中配置SNMP。
14.10
运维审计系统是否支持和其他日志平台对接?
支持。
运维审计系统支持通过syslog方式发送日志,超级管理员可以在中配置。
14.11 如何修改产品信息?
可以在以下页面修改:
- 修改Web登录界面的Logo、Web页面左上角的Logo、浏览器标题ico和产品信息:在页面中进行修改。
- 报表Logo:在页面中进行修改。
14.13 登录时如提示磁盘空间占用大于80%或不足5GB的告警如何处理?
对运维审计系统的磁盘空间占用最多的是审计日志,因此当磁盘空间占用超过80%时,可以将审计日志导出备份,并在运维审计系统上清理审计日志,具体方法如下:
-
使用超级管理员帐号登录运维审计系统。
-
选择。
-
在手动备份界面,设置文件服务器信息后单击确定,将审计数据备份到文件服务器中。
Attention: 请确保将被清理的所有数据,都已在文件服务器上进行了备份。
-
选择。
-
选择启用,开启审计数据清理。
-
设置定期清理时间和天数,单击确定。
设置审计数据清理任务后,运维审计系统将在每天指定的时间清理设置天数之前的审计数据,从而实现释放磁盘空间并清除告警的目的。
14.14 系统内存使用率过高时如何处理?
对于低配系统(例如只有4G内存),内存使用率过高是正常现象,只要设备没有其他异常且不影响业务就无需处理。
当内存使用率持续过高并影响业务时,请联系新华三技术支持人员定位和处理。
14.15 系统告警什么时候会提示负载过高?
当运维审计系统最近1分钟的系统负载超过CPU核数的2倍,或者内存占用超过80%时,就会产生节点XXX负载过高,请尽快处理的提示。
系统负载和内存占用,请在中查看,其中系统负载查看第一个值(即1分钟内的负载)。
产生该告警后,所有用户登录Web界面时会显示在页面上方。当配置了syslog或邮件告警时也会发送对应的告警信息。
14.16 文件服务器上已备份的审计文件不全?
当磁盘存在剩余空间的情况下,通常不会存该问题。如果发生审计文件不全,可能是存在配置调整或者对备份机制存在理解偏差。
审计数据备份功能的处理机制如下:
- 会话记录:当会话打开、手动关闭或超时关闭时,在审计中均会记录,并以开始时间和结束时间进行标记。
- 会话的最大持续时间:当会话打开后,达到最大持续时间后会被关闭。如果修改最大持续时间,新的阈值只会对新建会话生效,对于已经存在的会话,仍然按修改前的阈值生效。例如当前会话的最大持续时间为5天。某个会话从7月1日23:00开始,7月5日将最大持续时间改为3天,该会话依然于7月6日23:00自动关闭。
- 审计日志文件的生成机制:按会话开始时间生成日志文件。例如一个字符会话从7月1日23:00开始到7月3日10:00结束。那么该会话将被写入到7月1日的审计文件中。
- 手动备份日志文件机制:按照会话结束时间进行备份,即会话的结束时间落入手动备份时间段(在中配置,以设置值为起点,系统当前时间为终点)则备份,否则不备份。
14.17 rpmdb损坏后应该如何处理?
rpmdb损坏后,
运维审计系统不会直接提示用户系统出现异常。但超级管理员执行以下操作将出现异常:
- 在安装补丁包或升级包时,查看补丁详情中没有组件版本信息。
- 在中执行下载配置操作失败。
rpmdb修复方法如下:
- 对于E6112P08及之后的版本,rpmdb损坏后,运维审计系统将会自行修复。
- 对于E6112P03~E6112P07版本,管理员需要在Console控制台中执行Fix rpm
database操作手动修复。
- 对于E6112版本,管理员需要登录运维审计系统的Console控制台,安装upgrade_fixtool.zip补丁包。请联系技术支持人员获取补丁包和安装方法。
- 对于E6111版本,请联系技术支持人员修复。
Note: 如果升级过程中发现rpmdb损坏,请先修复rpmdb,再执行升级操作。
- E6112P07及之后的版本,补丁包和升级包支持在Web界面重复安装。管理员修复rpmdb后,可以直接在页面再次安装。
- E6112P06及之前的版本,补丁包和升级包不支持重复安装。修复rpmdb后,请联系技术支持人员重新安装。
14.18 如何替换登录Console的运维密钥?
密钥请妥善保管。HA
/集群部署时,请在所有节点均在线时修改,密钥会自动同步到其他节点。
非单机部署时,请按以下要求修改密钥:- HA部署时,对于E6112P16之后(不含)的版本,请在主节点上修改密钥。对于E6112P16之前(含)的版本,请先拆除HA,然后在主备节点修改密钥,完成后再搭建HA。
- 集群部署时,请在任一节点上修改密钥。
- 多站点或总分部署时,每个站点各自修改密钥,具体规则请参考HA/集群的要求。
Note: 在多机部署环境中生成新密钥时,如果节点不在线或者新增节点,那么该节点中的密钥不会被替换,仍然使用旧密钥。
替换步骤如下:
- 通过SSH登录Console。
- 在主菜单输入S并按下回车键,进入SSHD Management。
- 输入2并按回车,执行Generate root key。
- 在收到Enter passphrase (empty for no
passphrase):提示后,输入该密钥的密码并按回车,如果不设置密码,直接按回车。
- 再次输入
passphrase值并按回车,如果不设置密码,直接按回车。登录私钥生成后,系统回显如下所示。
SSHD Management:
1. SSHD port status: enable
2. Generate root key
D. Disable sshd port
0. Return
Enter selection: 2
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Generate root key successfully, please download.
- 输入2并按回车,执行Download root key,下载登录私钥。
Note: 生成新密钥后,请立即下载新私钥,否则断开连接后将无法通过SSH登录Console。
SSHD Management:
1. SSHD port status: enable
2. Download root key
3. Delete root key
D. Disable sshd port
0. Return
Enter selection: 2
Download root key h3c-20250315 successfully.
登录私钥生成后,也可以在页面中下载。
14.19 签名验签服务器故障时,会有什么影响?
签名验签服务器故障时,会影响
运维审计系统以下功能:
- 国密USB Key无法登录
- 无法创建/修改动态权限(操作时会导致页面卡住)。如果需要创建/编辑动态权限,可以先在中关闭国密功能。待签名验签服务器恢复正常时再启用国密功能。
- 对国密数据无法签名和验签。
支持
