检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
如何查询IAM用户登录的IP地址 问题描述 如果您想查询IAM用户的登录IP地址和登录时间,以确认当前账号是否存在安全风险,可以通过CTS记录的事件进行查看。 前提条件 已开启云审计服务。 操作方法 进入云审计服务控制台。 选择时间范围,然后在搜索框中依次查询: “云服务:IAM”
审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 记录审计日志:支持记录用户通过管理控制台或API接口发起的操作,以及各服务内部自触发的操作。 审计日志查询:支持在管理控制台对7天内操作记录按照事件类型、事
数据事件来源 数据事件的存储容器,当前为OBS桶。 OBS桶名称 在下拉列表中选择对应OBS桶。 事件操作类型 选择需要记录事件的数据操作。 目前支持“读操作”和“写操作”,且至少选择其中一种操作。 配置转储。填写相关参数,单击“下一步”。用户通过云审计控制台只能查询最近7天的操作记录,
查询不到事件怎么办? 问题描述 在CTS控制台查询不到事件。 操作方法 查看是否已选择正确的时间范围。 查看筛选条件是否选择正确。您可以在筛选器组合一个或多个筛选条件: 事件名称:输入事件的名称。 事件ID:输入事件ID。 资源名称:输入资源的名称,当该事件所涉及的云资源无资源名
为什么有些trace_type为systemAction的事件,存在user和source_ip为空的情况? trace_type字段的业务意义为标示请求来源,该字段可以是控制台(ConsoleAction)、API网关(ApiCall)及系统内调用(SystemAction)。
为什么查看事件窗口中的有些事件的字段为空? 可以为空的字段有source_ip、code、request、response和message,这些字段并非云审计服务规定的必备字段: source_ip:当trace type为SystemAction时,表示本次操作由服务内部触发,此时缺失IP字段为正常情况。
使用IAM用户无法开通CTS怎么办? 问题描述 使用IAM用户开通CTS失败。 操作步骤 查看IAM用户是否有权限。 是:继续执行2。 否:联系CTS管理员(主账号或admin用户组中的用户)对IAM用户授予CTS FullAccess权限,授权方法请参见给IAM用户授权。 IA
不开启开关 在OBS桶中查看历史事件记录 您已经配置了system追踪器将事件转储至OBS桶,系统立即以新的规则开始记录操作,您现在可以在OBS桶中下载并查看历史事件文件。 在您没有配置转储前,云审计控制台对用户的操作事件日志保留7天,过期自动删除,在配置转储后也无法查看。 在追踪器页面
本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录: 在新版事件列表查看审计事件 在旧版事件列表查看审计事件 使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看,或者到组织追踪器配置的OBS桶中查看,也可以到组织追踪器配置的CTS/system日志流下面去查看。
在LTS日志流中查看历史事件记录 您已经配置了system追踪器将事件转储至LTS日志流,系统立即以新的规则开始记录操作,您现在可以在LTS日志流中查看历史事件文件。 在您没有配置转储前,云审计控制台对用户的操作事件日志保留7天,过期自动删除,在配置转储后也无法查看。 在追踪器页面
本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录。 在新版事件列表查看审计事件 在旧版事件列表查看审计事件 操作视频 使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看,或者到组织追踪器配置的OBS桶中查看,也可以到组织追踪器配置
cts_admin_trust委托被误删除怎么办? 问题描述 在IAM控制台误删除名称为“cts_admin_trust”的委托,可能会影响审计数据转储至对象存储服务(OBS)。 解决办法 进入CTS控制台重新创建委托,转储至对象存储服务(OBS)功能将会在24小时内恢复。操作方法如下:
API文档 查询API所有版本号 查询API指定版本号 创建追踪器 查询事件列表 查询全局事件 错误码 常见问题 了解更多常见问题、案例和解决方案 热门案例 哪些用户应该开通云审计服务? 如果用户已开通云审计服务,但OBS桶未配置正确的策略,会出现什么情况? 为什么查看事件窗口中的有些事件的字段为空?
函数,通过函数代码对当前登录/出的账号进行IP过滤,若不在白名单内,可收到SMN发送的通知消息邮件,如图1所示。 图1 告警消息邮件通知 邮件信息中包含非法请求ip地址和用户执行的动作(login/logout)。 可以通过函数指标查看函数的调用情况,如图2所示。 图2 函数指标
分布式数据库中间件 DDM 分布式数据库中间件支持审计的操作列表 云数据库 RDS 云数据库RDS for MySQL支持审计的操作列表 RDS 云数据库RDS for PostgreSQL支持审计的操作列表 RDS 云数据库RDS for SQL Server支持审计的操作列表 数据复制服务
参见事件结构和事件样例。 图2 查看事件文件内容 文件下载到本地后,通过解压可以得到与压缩包同名的json文件,下载解压后的json文件如图3所示,通过记事本等txt文档编辑软件即可查看到保存的追踪日志信息。 图3 下载解压后的json文件 查询LTS中转储事件 配置追踪器时,若
支撑。 问题定位分析 云审计服务可通过配置查询条件,精确查找问题发生时的操作及其详情,降低问题发现、定位和解决的时间、人力成本。 当现网某个特定资源或动作出现问题,可根据云审计服务收集的日志记录,通过查询对应时间、对应资源的操作记录,查看当时的请求动作和响应,支撑问题定位分析。
器中。数据追踪器会记录租户对OBS桶中的数据操作的详细信息。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录,需要将事件文件保存至对象存储服务中的存储对象的容器,即OBS桶,也可以保存至LTS日志流。开通云审计服务之前,需要开通对象存储服务和云日志
了最新版本SDK的获取地址。 在线生成SDK代码 API Explorer能根据需要动态生成SDK代码功能,降低您使用SDK的难度,推荐使用。 SDK列表 表1提供了CTS服务支持的SDK列表,您可以在GitHub仓库查看SDK更新历史、获取安装包以及查看指导文档。 表1 SDK列表
跨租户密钥授权OBS桶转储失败怎么办? 问题描述 租户A通过DEW密钥授权机制,通过用户ID方式将DEW密钥共享给另外一个租户的子用户B。用户B创建了使用租户A DEW密钥加密的OBS桶,用户B在配置CTS系统追踪器时,选择转储到该加密OBS桶后,会配置失败。 操作步骤 登录用户B的管理控制台。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
