SSH 会话日志

gmzta2025/4/4大约 7 分钟

🌐 SSH 会话日志使用指南

1. 功能概述

当您使用 飞网 Gmzta SSH 连接至其他飞网节点时，开启 SSH 会话日志 功能即可记录操作全过程。日志将通过飞网加密通道自动传输至您指定的 日志节点，这些记录是端到端加密的，就像所有其他飞网流量一样。

2. 启用 Gmzta SSH 会话日志

2.1 启用前提条件

您需具备以下配置和权限：

会话录制仅适用于通过飞网的 SSH 连接。
已在要连接的SSH服务端通过飞网开启 gmzta set --ssh；
拥有飞网 所有者、管理员 或 网络管理员 权限；
在访问控制策略（NACP）SSH策略中配置会话日志节点。

2.2 日志节点部署说明

日志节点以 Docker 容器形式部署；
默认监听端口：
- 80：接收会话日志；
- 443：使用浏览器访问，日志节点的飞网域名页面查看日志；
Docker 主机无需是飞网节点，因日志节点会通过授权密钥自动加入飞网网络。

2.3 创建日志节点所需设备组和密钥

2.3.1. 在“控制面板”的“访问控制”中创建设备组，如图：

该设备组将用于标识会话日志节点。

2.3.2 创建身份验证密钥并分配上述标签。

在“控制面板” → “密钥设置”中创建身份验证密钥，勾选“预先批准”并指定设备组，创建后复制该密钥。

该密钥用于登录会话日志

2.3.3. 设置环境变量（首次部署时执行）：

export GM_TOKEN=<gmkey-auth-xxxx>

2.4 部署日志节点容器

2.4.1 拉取最新镜像：

Docker Hub

docker pull gmzta/sessionlog:latest

阿里云镜像仓库

docker pull registry.cn-beijing.aliyuncs.com/gmzta/sessionlog:latest

2.4.2 运行容器：

Docker Hub

docker run -d --restart=always \
  -e GM_TOKEN=$GM_TOKEN \
  -e GM_HOSTNAME=recorder \
  -v ./gmzta_var_lib:/var/lib/gmzta \
  -v ./Recorder:/app/Recorder \
  gmzta/sessionlog:latest

阿里云镜像仓库

docker run -d --restart=always \
  -e GM_TOKEN=$GM_TOKEN \
  -e GM_HOSTNAME=recorder \
  -v./gmzta_var_lib:/var/lib/gmzta \
  -v ./Recorder:/app/Recorder \
  registry.cn-beijing.aliyuncs.com/gmzta/sessionlog:latest

参数	说明
-e GM_TOKEN=$GM_TOKEN	用于配置授权密钥。（必填）
-e GM_HOSTNAME=recorder	指定飞网节点的主机名默认为recorder。
-v ./gmzta_var_lib:/var/lib/gmzta	将主机上的/var/lib/gmzta目录挂载到容器内的/var/lib/gmzta目录，容器中该目录默认不包含飞网客户端程序的配置文件。同时配置环境变量GM_CONFIG_DIR=/var/lib/gmzta，可防止容器重启导致设备数据丢失。该目录通常用于存储程序配置文件，日志文件，节点间共享的文件，证书文件等。
-v ./Recorder:/app/Recorder	/app/Recorder为日志文件存储位置，持久化存储日志内容