快速使用云审计服务 CTS
快速使用云审计服务 CTS
开通云审计服务
首次开通云审计服务时,系统会自动为您创建一个名为system的管理追踪器,您也可以在追踪器页面创建多个数据追踪器。管理追踪器会自动识别并关联当前租户所使用的所有云服务,并将当前租户的所有操作记录在该追踪器中。数据追踪器会记录租户对OBS桶中的数据操作的详细信息。
查看审计事件
开通了云审计服务后,系统开始记录云服务资源的操作以及对OBS桶中数据的操作。云审计服务管理控制台保存最近7天的操作记录。
查看已转储事件
云审计服务会定时将跟踪到的事件以事件文件的形式按周期保存至OBS桶。事件文件是按照服务、转储周期两个维度生成的事件集,系统会根据当前负载情况调整每个事件文件包含的事件数。
配置关键操作通知
关键操作通知主要应用于以下场景:
高危操作(重启虚拟机、变更安全配置等)、成本敏感操作(创建、删除高价资源等)、业务敏感操作(网络配置变更等)的实时感知和确认。
越权操作感知:如高权限用户的登录、某用户进行了其权限范围之外的操作的实时感知和确认。
10分钟教程让您快速上手体验 10分钟教程让您快速上手体验
查看操作事件
根据视频指导快速查看操作事件
创建追踪器
根据视频指导快速创建追踪器
操作事件通知
根据视频指导快速创建操作事件通知
查看操作事件
根据视频指导快速查看操作事件
创建追踪器
根据视频指导快速创建追踪器
操作事件通知
根据视频指导快速创建操作事件通知
云审计服务最佳实践 云审计服务最佳实践
启用云审计服务,便于云上用户对操作的事后审查
云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。
开启云审计服务配置OBS桶,将审计事件归档OBS永久存储
由于CTS只支持查询7天的审计事件,为了您事后审计、查询、分析等要求,启用CTS追踪器请配置OBS服务桶(建议您配置独立OBS桶并配置KMS加密存储专门用于归档审计事件)。当云上资源发生变化时,CTS服务将审计事件归档至OBS的桶,操作详情参考:追踪器配置OBS转储。
开启云审计服务,请配置审计事件通知
云审计提供了事件通知能力,便于用户实时接收重点审计事件通知,操作详情:启用审计事件通知。当您在比较关注对华为云的资源增加删除比较关注时,您可启用云审计事件通知规则并配置相应资源的服务类型、资源类型、动作,云审计服务将实时根据您配置邮件或短信的规则通过消息通知服务(SMN)发送通知。
使用云监控服务对重点审计事件进行实时监控告警
云审计会将华为云ECS、VPC、EVS等云服务重点审计事件如: deleteServer、deleteVpc、deleteVolume等发送CES事件监控中,您可使用该服务监控自己的云上资源操作频率,执行自动实时监控、告警和通知操作,帮助您实时掌握特定云服务云上资源操作频次、操作返回状态、发生时间等信息。
