Поиск и просмотр сессии пользователя
Чтобы просмотреть сессию, найдите ее в списке по дате активности или воспользуйтесь фильтрами, поиском и сортировкой по таблице.
Если в сессии выполняются несанкционированные действия или на целевой системе планируется техническое обслуживание, разорвите сессию пользователя принудительно.
Найти сессию
Найти конкретную сессию пользователя в целевой системе можно через поиск или по дате активности.
С помощью поиска
Если вы знаете параметры сессии, например, целевой IP-адрес или порт подключения, вы можете найти сессию с помощью строки поиска.
В поле Поиск укажите параметры, по которым нужно найти сессию. Например, укажите IP-адрес ресурса.
Нажмите Enter.
В списке останутся только те сессии, которые соответствуют параметрам поиска.
С помощью даты активности
Если вы знаете, в какой промежуток времени выполнялось подключение к целевой системе, вы можете найти сессию по дате активности.
Нажмите — откроется окно фильтра по дате.
Перейдите на вкладку:
Начало / завершение активности — если известен только период дат, в которые была активность.
Период активность — если известно время активности в течении конкретного дня.
Выберите даты и время для поиска.
Нажмите Применить.
PAM отфильтрует список сессий по выбранным датам и времени.
Просмотреть сессию пользователя
PAM записывает все сессии пользователей на целевых системах. Если в системе произошел инцидент, то запись сессии поможет при расследовании ситуации.
Чтобы просмотреть сессию пользователя:
Перейдите в раздел Сессии.
Выберите сессию, которую нужно отсмотреть. Если записей много, воспользуйтесь поиском или фильтрами.
После выбора откроется окно Просмотр сессии, где отображаются все данные о сессии пользователя, видеологирование и записи событий, а также информация о передаче файлов, если она была в процессе подключения.
Детали сессии
На вкладке Детали отображается подробная информация о сессии пользователя на целевом ресурсе. Информация разделена на логические блоки:
Сессия — основная информация о сессии, ее статус, даты начала и окончания.
Подключение — аккаунты, разрешения и приложение, которые использовались для подключения к ресурсу.
Пользователь — информация о пользователе, IP-адрес и порт клиентского устройства.
Ресурс — логин, IP-адрес, порт и FQDN целевой системы.
Воркер — воркер, через который выполнялось проксирование, его тип, IP-адрес, порт и FQDN.
Видеологирование
PAM записывает все сессии по SSH-протоколу и RDP-протоколу. Запись отображается на вкладке Наблюдение.
Поиск и просмотр события
Все действия пользователя, например ввод команды в терминале, фиксируются системой.
Зафиксированные действия отображаются на тайм-коде плеера и в блоке События.
По дате и времени
Чтобы найти нужный фрагмент записи, воспользуйтесь ползунком в плеере или укажите конкретный тайм-код и нажмите Перейти.
В плеере
Чтобы перейти к событию системы в плеере нажмите — плеер перейдет на тайм-код следующего события.
Если нужно, чтобы плеер автоматически проматывал запись сессии к активным событиям, включите режим Skip Idle.
В списке событий
Чтобы просмотреть запись события, нажмите на дату и время над этим событием — плеер передвинет тайм-код на нужную отметку.
Если список событий большой, вы можете найти конкретное событие с помощью поиска. Например, если пользователь в терминале системы просматривал информацию о соединении, введите в поиске ipconfig.
Файлы
Информация о переданных во время сессии файлах находится на вкладке SCP.
Вы можете просмотреть имя переданного файла, его размер в байтах, место копирования и время, в которое была выполнена операция.
Просмотреть связанные объекты
По каждому из связанных с сессией объектов, например аккаунту, пользователю или воркеру, вы можете перейти в карточку этого объекта.
В разделе Сессии найдите и откройте сессию.
Перейдите на вкладку Детали.
В списке логических блоков нажмите на или название объекта — в отдельном окне браузера откроется его карточка.