可以擷取使用者操作畫面的系統監控側錄軟體ObserveIT,採用了獨特的中繼資料(Metadata)側錄功能,能將操作過程畫面錄製下來,還提供了視窗標題、應用程式,甚至輸入的關鍵字等搜尋功能,管理起來相當便利。

實際上,ObserveIT並不是隨時都在記錄著受控電腦的一舉一動,而是採用使用者動作觸發的方式,也就是當受控的電腦或伺服器,有任何的滑鼠、鍵盤,或者開啟應用程式視窗等,各種操作行為,這時ObserveIT就會開始記錄受控電腦的所有操作行為。

這種監控方式的好處在於,它不會無時無刻的紀錄,而造成記錄的資料庫快速成長,但所留下的多數資料都是無用的情況,也不會因為隨時記錄,造成受控電腦,以及管理系統的負擔。

換言之,這套系統只會在使用者有操作行為的時候,才會觸發側錄,而使用者停止點擊滑鼠,或是輸入動作,系統就會停止側錄,不會在沒有人員操作、變更系統的情況下,仍持續記錄沒有變化的畫面,可以大幅降低系統記錄的資料庫成長速度,同時,透過中繼資料的記錄方式,系統管理人員要查詢特定操作行為記錄的時候,也不會因為採取持續錄製畫面的方式,而不容易找到特定操作行為的記錄與證據。

可依據不同時段與使用者的操作來區隔記錄

這套系統的使用者記錄檔案,會將同時段、同使用者的連續操作,存成一個側錄檔案,而這記錄中,還可將每個不同的應用程式操作獨立開來,而之後管理人員檢視的時候,可觀看完整或是特定應用程式的操作記錄檔案。

提供Jump Server Gateway模式,同時側錄後端所有伺服器操作

若要監控後端最重要主機上所發生的操作行為,這類型的管理系統為了達到目的,通常都是直接在這些主機上,安裝控管軟體(Agent),但實際上可行性不高,因為有可能會影響效能、相容性或安全性,而因為ObserveIT是透過使用者操作行為觸發管理系統開始記錄操作畫面。因此它除了可以直接在受控端的電腦上安裝受控程式之外,還可以建置一臺Jump Server Gateway,並將節錄到的操作行為回傳到管理伺服器。

這種採用Jump Server Gateway的方式,其實就是一種借助跳板環境操作,再從中監控,而非將監控程式直接植入各臺主機內。這很適合外部人員、廠商,以RDP、SSH,或透過VPN等遠端登入,而他們遠端操作的時候,因為每一個操作行為,都必須透過跳板伺服器,再登入後端的伺服器,因此每一個操作動作,都會觸發ObserveIT Agent,便同樣可將所有行為記錄下來。

由於ObserveIT是透過個人電腦、伺服器,或是Jump Server Gateway上所安裝的Agent,來偵測操作行為,並將錄製下來的畫面透過網路傳送到ObserveIT管理平臺與資料庫,因此,你可能會好奇,安裝Agent的電腦或伺服器斷線的情況下,這套系統是不是就無法記錄操作畫面,並回傳到管理平臺,因而無法側錄到操作畫面?

在這種情況下,ObserveIT的Agent程式,會先將側錄的資料儲存在那臺電腦本機,等到與管理伺服器連接之後,便會將側錄資料上傳,可因應網路突然斷線的情況。此外,本機端的暫存資料夾是隱藏屬性,且必須擁有管理權限才可修改,因此使用者無法找到,並擅自刪除記錄檔。

可針對特定關鍵字或操作流程條件,主動發出警示

這套系統監控側錄系統的另一個特點,就在於ObserveIT因為採用中繼資料的記錄方式,因此還可將開啟的視窗標題與輸入的字元等節錄下來,便於查找特定操作行為之外,還可指定特定應用程式(視窗)、輸入的字元等,當受控的設備上,開啟或輸入控管的應用程式或指令時,除了一般的畫面側錄之外,還可以發出警告,提示管理人員,讓他們知道在某臺伺服器、電腦上,某位使用者正在執行這些操作行為。

舉例來說,我們可以在Linux作業系統上,將「以root權限」操作行為,設成主條件突顯,也就是輸入「su」或「sudo」字元的時候,就發出警告,日後只要有這樣的情況發生,在ObserveIT管理介面上,除了可以看到全部的操作行為側錄,還可以在使用者以root權限執行指令的記錄檔前方,看到警告圖示,我們只要點擊這個圖示,便可看到當下該使用者是以root權限執行的動作。

警示的設定上,ObserveIT還提供了多種觸發條件的組合,或是過濾條件的設定,也就是管理人員可以針對特定使用者,在指定的受控伺服器上,執行了特定的應用程式,當這些條件都成立的時候,ObserveIT一樣會在該側錄記錄檔前,附加警示圖案。

也能主動提示危險操作的行為側錄記錄畫面

管理者在事前設定好高危險操作行為之後,這套系統除了會在管理頁面中,以圖示提醒管理人員之外,在側錄的影片檢視畫面中,還會在這個指定的操作行為中,將高危險操作行為的設定顯示出來,管理人員可以快速了解,是哪個使用者執行了什麼高危險的操作行為。

能依據特定操作條件設定警示

在警示條件的設定上,管理人員除了可設定關鍵字,將特定的應用程式與字元,設為高危險行為而發出警示,還可將特定操作行為組成一個流程條件,例如將指定的使用者、在指定的伺服器上,執行特定的應用程式,設為高危險操作行為,一旦條件符合,系統就會發出警示。

支援關鍵字查詢,便於查找關鍵記錄檔案畫面

在控管的方式上,管理人員透過網頁瀏覽器登入ObserveIT管理頁面操作,在這裡管理人員可以看到所有受控伺服器的側錄記錄、設定警示動作,以及ObserveIT的系統設定等。

當我們要觀看特定側錄片段的時候,只要點選該記錄的影片圖示,就可在網頁瀏覽器中開啟,實際上,這是一張張螢幕擷圖所拼湊出來的影片,而且,這些檔案還可依據不同的操作而逐一分開,例如使用者連續操作了命令提示字元,接著又開啟控制臺,在整個側錄影片中,我們可以將這連續操作視為一個活動,但在ObserveIT的管理介面中,因為採用Metadata的側錄方式,因此可將這2個不同應用程式的操作區隔開,管理人員在查詢操作記錄的時候,可以依據不同的動作來檢視,搜尋與瀏覽特定應用程式或操作的時候,相當便利。

整體來說,由於ObserveIT是以鍵盤、滑鼠,或是開啟應用程式與視窗的動作來當做側錄的觸發條件,可以減少相當多的記錄檔案儲存空間,再搭配Metadata的側錄方式,不論是警示,或者事後查詢都相當便利,而這2者搭配起來,讓這套側錄系統不論是管理、設置,都相當便利與直覺。

可輸入關鍵字搜尋行為或視窗標題

採用Metadata側錄的方式,好處是可以詳細錄製畫面與操作行為,同時還可透過搜尋的方式,尋找特定的操作行為與視窗標題,例如「su」或「sudo」等Linux的輸入字元,或者Google、奇摩,或iThome等網頁標題名稱,這套系統會將相關的操作畫面,全部呈現出來。

 

產品資訊

ObserveIT 5.8

●建議售價:39萬元起

●原廠:ObserveIT

●網址:www.observeit.com

●代理商:漢領國際

●電話:(02)8228-6983

●被控端支援平臺:Windows、Windows Server、Linux、Solaris、IBM AIX、HP UX、VMware View、Citrix XenApp、XenDesktop

●管理伺服器平臺OS需求:Windows Server 2003/2003 R2/2008/2008 R2/2012/2012 R2

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】


Advertisement

更多 iThome相關內容