Ranger1.2.0审计模块学习
Access
- 在Ranger中,访问页为所有已将审计设置为On的策略提供服务活动数据。将默认服务策略配置为记录服务内的所有用户活动。此默认策略不包含用户和组访问规则。
筛选条件参数说明:
| 参数 | 描述 |
|---|---|
| Policy ID | 试图访问资源的执行策略ID |
| Event Time | 试图访问资源的时间点 |
| User | 试图访问资源的用户的名称 |
| Service Name/Type | 用户试图访问的服务的名称和类型 |
| Resource Name/Type | 用户试图访问的服务的资源名称和类型。对于Hive事件,该字段将显示用户运行的Hive查询 |
| Access Type | 用户尝试访问的类型(例如,撤销、授予、打开、使用) |
| Result | 显示操作是否成功 |
| Access Enforcer | Ranger (ranger-acl) or Hadoop (hadoop-acl) |
| Client IP | 试图访问资源的用户系统的IP地址 |
| Cluster Name | 集群名称。可以在Ambari>组件>配置>高级>ranger-component-audit文件下定义,使用ranger.plugin.component. ambary .cluster.name=cluster_name |
| Tags | 标签名称 |
| Start Date,END Date | 过滤器为特定的日期范围产生结果 |
Admin
- 在Ranger中,Admin选项卡包含审计HDP安全管理Web UI的所有事件,包括服务、服务管理器、登录等(创建、更新、删除、密码更改等操作)。
| 参数 | 描述 |
|---|---|
| Actions | 这些是对资源执行的操作(如创建、更新、删除、密码更改等操作) |
| Audit Type | 根据对服务、策略和用户执行的操作,有三个值服务、策略和用户 |
| End Date | 每个会话都存储登录时间和日期。日期范围用于筛选特定日期范围的结果 |
| User | 执行了创建、更新、删除操作的用户名 |
| Start Date | 每个会话都存储登录时间和日期。日期范围用于筛选特定日期范围的结果 |
| Session Id | 每次尝试登录系统时,会话计数都会增加 |
Login Sessions
- 在Ranger中,Login Sessions选项卡记录与每个登录的会话相关的信息
| 参数 | 描述 |
|---|---|
| Start Date,End Date | 指定应根据特定的开始日期和结束日期筛选结果 |
| IP | 用户登录的系统的IP地址 |
| Login Id | 某人通过其登录到系统的用户名 |
| Login Type | 用户尝试登录的模式(通过输入用户名和密码) |
| Result | 记录登录是否成功。可能的结果可能是成功,错误的密码,帐户禁用,锁定,密码过期或用户未找到 |
| Session Id | 每次用户尝试登录系统时,会话计数都会增加 |
| User Agent | 用于登录特定事件(如Mozilla、Java、Python)的浏览器或库版本 |
Plugins
- 在Ranger中,插件选项卡显示安全代理的上传历史。此模块显示从系统导出的所有服务。
| 参数 | 描述 |
|---|---|
| Plugin IP | 试图导出服务的代理的IP地址 |
| Plugin ID | 试图导出服务的代理的名称 |
| HTTP Response Code | 试图导出服务时返回的HTTP代码 |
| Start Date, End Date | 每个代理都存储了导出时间和日期。日期范围用于筛选特定日期范围的结果 |
| Service Name | 我们试图导出的服务名称 |
| Cluster Name | 集群名称。可以在Ambari>组件>配置>高级>ranger-component-audit文件下定义,使用ranger.plugin.component. ambary .cluster.name=cluster_name |
Plugin Status
- 在Ranger中,插件状态选项卡显示每个插件的有效策略。包括相关的主机信息,以及插件下载和开始执行策略的时间。
| 参数 | 描述 |
|---|---|
| Host Name | 主机 |
| Plugin IP | 使用插件的代理的IP地址 |
| Service Name | 包含策略的服务的名称 |
| Service Type | 组件 |
User Sync
- 在Ranger中,用户同步页面为Ranger中的所有usersync进程提供服务活动数据。这将为用户和组创建与每次运行userync同步的遵从性/审计跟踪。
| 参数 | 描述 |
|---|---|
| Start Date, End Date | 过滤器为特定的日期范围产生结果 |
| User Name | 试图访问资源的用户的名称 |
| Sync Source | File, LDAP/AD, or Unix |