Администрирование TrustViewerPro: лог сеансов связи
Начиная с версии TrustViewerPro 2.8.0 появилась функция ведения логов сеансов связи. Лог сеансов связи ведется автоматически и представляет собой CSV файл под названием sessions.csv.
По умолчанию этот файл находится в каталоге TrustServer-а в папке «Logs».
Например, в Windows, если TrustServer установлен по пути ‘C:\TrustServer’ то файл логов будет располагаться по пути ‘C:\TrustServer\logs\sessions.csv’
Соответственно в Linux, если TrustServer установлен по пути ‘/srv/trustserver/’ то файл логов будет располагаться по пути ‘/srv/trustserver/Logs/sessions.csv’
Ниже представлена таблица с описанием полей заголовков:
| Наименование поля | Описание поля |
|---|---|
| Login | Логин авторизованного оператора в клиентском модуле TrustViewerPro |
| User | Имя пользователя, авторизованного в операционной системе |
| Computer | Имя компьютера оператора технической поддержки |
| Domain | Наименование рабочей группы/домена |
| IP | Внутренний IP-адрес компьютера оператора технической поддержки |
| ExtIP | Внешний IP-адрес компьютера оператора технической поддержки |
| RemoteUser | Логин авторизованного пользователя в клиентском модуле TrustViewerPro |
| RemoteComputer | Имя удаленного компьютера, с которым инициирован сеанс связи |
| RemoteDomain | Наименование рабочей группы/домена в которой произошла инициация сеанса связи |
| RemoteIP | Внутренний IP-адрес удаленного компьютера, с которым инициирован сеанс связи |
| RemoteExtIP | Внешний IP-адрес удаленного компьютера, с которым инициирован сеанс связи |
| Connection | Указывает режим сеанса связи на момент подключения (нужно иметь в виду, что оператор может изменить режим уже в процессе сеанса связи, например вместо просмотра удаленного рабочего стола может показать свой рабочий стол, в этом случае можно посмотреть на счетчик ScreensOut — если там значение больше 0, значит оператор показывал свой рабочий стол). Возможные значения: AudioCall – соединение в режиме аудиосвязи; VideoCall — соединение в режиме видеосвязи; DemoDesktop – режим демонстрации рабочего стола оператора; ControlDesktop – режим управления удаленным рабочим столом; CustomMode – режим паритетного сеанса связи (и оператор и пользователь удаленного компьютера могут выбрать любой режим) FullControl – режим неограниченного доступа к удаленному компьютеру; FullFiles – режим передачи файлов с полными правами; RDP – подключение в режиме удаленного рабочего стола по протоколу RDP |
| ByID | Режим подключения к удаленному компьютеру. Возможные значения: No – оператор подключался через панель управления компьютеров без использования идентификатора; Yes – оператор подключался по идентификатору. |
| StartTime | Время начала сеанса связи в формате ДД.ММ.ГГГГ ЧЧ:ММ |
| FinishTime | Время завершения сеанса связи в формате ДД.ММ.ГГГГ ЧЧ:ММ |
| Authen | Показывает состояние начала сеанса связи. Возможные значения: Successful – авторизация прошла успешно; RemoteCancel – удаленный компьютер отклонил запрос; Abort – оператор отменил запрос самостоятельно; PasswordError – неверно введен пароль; FaildTime — если вышло время доступа (в режиме когда удаленный пользователь предоставлял оператору неконтролируемый доступ с ограничением по дате и времени подключения); ConnectionError/SyncError – неудачная авторизация из-за проблем со связью |
| Closed | Показывает состояние завершения сеанса связи. Возможные значения: Normal — сеанс связи был завершен корректно на стороне оператора; TimeOut — сбор логов был прерван не штатно, и в этом случае запись в файле логов отобразится с задержкой (минут на 20—30) (например, если компьютер оператора аварийно выключится во время сеанса связи, то сервер не будет точно знать что с ним произошло, возможно это просто временные проблемы со связью, поэтому сервер какое-то время ждет и если не дожидается — финализирует запись, т.е. отображает ее в файле логов) |
| BytesIn | Объем данных в байтах, полученный от удаленного компьютера |
| BytesOut | Объем данных в байтах, переданный удаленному компьютеру |
| FilesIn | Количество полученных файлов во время сеанса связи |
| FilesOut | Количество отправленных файлов во время сеанса связи |
| ClipboardsIn | Количество полученных от удаленного компьютера буферов обмена |
| ClipboardsOut | Количество отправленных удаленному компьютеру буферов обмена |
| ScreensIn | Количество кадров экрана полученных от удаленного компьютера |
| ScreensOut | Количество кадров экрана отправленных удаленному компьютеру (демонстрация рабочего стола оператора) |
| VideosIn | Количество кадров веб-камеры полученных от удаленного компьютера |
| VideosOut | Количество кадров веб-камеры отправленных удаленному компьютеру |
| AudiosIn | Количество аудиосэмплов микрофона полученных от удаленного компьютера |
| AudiosOut | Количество аудиосэмплов микрофона отправленных удаленному компьютеру |
Примечание
Информация в полях FilesIn/FilesOut…AudiosIn/AudiosOut только помогает сориентироваться что происходило во время сеанса связи, более подробную информацию, например какие именно файлы были скопированы, какие действия происходили на экране, прослушивание аудио- и видео записей — нужно смотреть в записи сеанса связи. Запись сеансов связи должна быть включена на сервере TrustServer:
Сам файл логов можно открыть для последующего анализа в любом табличном редакторе, распознающим формат ‘*.csv’ и позволяющим фильтровать данные. Например, всем известный Microsoft Excel или LibreOffice Calc. Ниже пример файла sessions.csv:
В данном примере, в 4-й строке мы можем увидеть, как оператор, авторизованный в TrustViewerPro под учетной записью ‘Admin’ 23.05.2022 13:22 передал в режиме передачи файлов (столбец Connection) 22 файла (столбец FileOut) на удаленный компьютер с IP-адресом 192.168.1.69. Если на сервере TrustServer включена централизованная запись сеансов связи, то инцидент с передачей такого количества файлов можно посмотреть в записи сеанса связи и проанализировать какие данные были переданы на удаленный компьютер. Анализ подобных ситуаций полезен когда пользователи и операторы, имеющие право приема/передачи файлов, передают файлы на удаленные компьютеры за пределы сети предприятия.
В 7-й строке мы видим, что оператор, авторизованный под учетной записью ‘Support1’ установил с пользователем ‘trustservice’ сеанс аудиосвязи. Если имеется необходимость прослушать диалог, то при включенной на сервере TrustServer опции записи аудио, можно прослушать диалог оператора с удаленным пользователем. Анализ подобных ситуаций полезен, когда необходимо выявить, например, инциденты, вызванные с некачественным оказанием техподдержки в режиме аудиосвязи.
Таким образом, введенный функционал логов в совокупности с включенной опцией централизованной записи сеансов связи, содержит в себе все необходимые данные для анализа практически любых действий, происходивших во время состоявшегося подключения.
Обсудить статью на форуме
Полное, либо частичное копирование и публикация материалов допускается с обязательной ссылкой на данную статью.