(第五篇) IT 審計繁複!ObserveIT 簡化工作?- 配置錄影及尋找片段、傳送提示訊息
雖然大部份軟件均有日誌紀錄功能,然而部份自家開發的軟件卻未必提供此功能,面對這情況傳統的 SIEM 軟件便未必能有效監控,事關傳統的 SIEM 其實只是一套將系統日誌集中紀錄、分析及管理的方案而已。
其實還有一個終極方法,那就是針對用戶的熒幕進行錄影。而今次用作示範的 ObserveIT 便支援相關功能,除此之外,方案亦可支援到以文字搜尋影片,例如搜尋 Control Panel 便會列出與 Control Panel 相關的影片紀錄,如此一來即使錄影了一年的影像,萬一需要突然找出相對應的影像以進行審計或查看問題發生,通過此搜尋功能亦可迅間搜尋出相對應影像。
測試及尋找錄影片段
Step 1:預設 policy 已經開啟錄影功能,大家請按【User Diary】→【Activities】,然後在 CLIENT 這台電腦的右方按【On Air】圖示。
Step 2:接著能夠看到 real time 錄影片段。
Step 3:此時管理員可以文字尋找不同軟件的片段;例如要搜尋 Windows 控制台片段的話,我們只需按下【Search】→【Search for: control panel】,然後按【Search】按鈕,接下來於下方即會出現了控制台的片段,此時大家可以按右方【Video】圖示觀看片段。
使用者有權知道自己的電腦正在被錄影,管理員可以在ObserveIT傳送提示訊息,當使用者登入ObserveIT帳戶後即可看見正在錄影訊息!
傳送提示訊息
Step 1:大家請按【Configuration】→【Messages】,在 Create a new message 按【Create】按鈕。
Step 2:在 Subject 輸入題目和 Message body 輸入內容,選取【Mandatory Reply】,然後按【Save】按鈕。
Step 3:登入 CLIENT 客戶端電腦後(這裡需要雙重認證配合,大家可以先看下一篇參考如何設定),彈出 Message 視窗,使用者一定要選取【I Acknowledge】同意條款,以及在下方輸入回覆留言,然後按【Finish】按鈕。
Step 4:同樣能夠檢查回覆留言的訊息,請按【Server Diary】→【Messages】,下方的 Messages Diary 能夠檢查出 test 帳號曾經作出的回覆。
下一篇是 ObserveIT 的最後一篇,筆者教大家設定雙重認證,亦都是 ObserveIT 最困難配置的功能!
(第一篇) IT 審計繁複!ObserveIT 簡化工作?- 介紹篇
(第二篇) IT 審計繁複!ObserveIT 簡化工作?- 安裝篇
(第三篇) IT 審計繁複!ObserveIT 簡化工作?- 安裝 ObserveIT Agent 篇
(第四篇) IT 審計繁複!ObserveIT 簡化工作?- 配置 Server Policy Template