检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
如何查询IAM用户登录的IP地址 问题描述 如果您想查询IAM用户的登录IP地址和登录时间,以确认当前账号是否存在安全风险,可以通过CTS记录的事件进行查看。 前提条件 已开启云审计服务。 操作方法 进入云审计服务控制台。 选择时间范围,然后在搜索框中依次查询: “云服务:IAM”
录。 在新版事件列表查看审计事件 在旧版事件列表查看审计事件 使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看,或者到组织追踪器配置的OBS桶中查看,也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控
environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment ak = os.environ["CLOUD_SDK_AK"] sk = os.environ["CLOUD_SDK_SK"]
服务在单个转储周期内产生的所有事件仅会压缩生成一个事件文件,但在事件数量较多时,系统会根据当前负载情况调整每个事件文件包含的事件数。 发布区域:全部 事件样例 事件文件完整性校验 在安全和事故调查中,通常由于事件文件被删除或者被私下篡改,而导致操作记录的真实性受到影响,无法对调查
Service,以下简称CTS)为您提供云服务资源的操作记录,供您查询、审计和回溯使用。 通过云审计服务,您可以记录云审计自身服务相关的操作事件,便于日后的查询、审计和回溯。 表1 云审计服务支持的自身服务操作列表 操作名称 资源类型 事件名称 创建追踪器 tracker createTracker
CTS支持审计的ECS关键操作请参考弹性云服务器支持审计的操作列表,当用户对云服务器进行了增加、删除、修改类型的操作时,ECS服务会自动记录操作动作及操作结果,并按照指定的格式发送事件到云审计服务完成事件归档。云审计服务控制台会保存用户最近7天的操作记录,用户可以在“事件列表”界面进行查看。 操作步骤 登录云审计控制台。
能。例如查询API版本号、事件列表、创建追踪器等。 云审计服务提供的具体API如表1所示。 表1 接口说明 子类型 说明 API版本号 CTS API的版本查询接口,支持查询所有API或者指定API的版本号。 追踪器 CTS API的追踪器管理接口,用来创建、修改、查询以及删除追踪器。
记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪、问题回溯和问题定位等常见应用场景。 图1 云审计服务介绍 云审计服务的功能主要包括: 记录审计日志:支持记录用户通过管理控制台或API接口发起的操作,以及各服务内部自触发的操作。 审计日志查询:支持在管理控制台对
用户首次进入云审计服务时,在追踪器页面单击“开通云审计服务”,系统会自动为您创建一个名为system的管理追踪器,之后您也可以在追踪器页面创建多个数据追踪器。管理追踪器会自动识别并关联当前租户所使用的所有云服务,并将当前租户的所有操作记录在该追踪器中。数据追踪器会记录租户对OBS桶中的数据操作的详细信息。
用户首次进入云审计服务时,在追踪器页面单击“开通云审计服务”,系统会自动为您创建一个名为system的管理追踪器,之后您也可以在追踪器页面创建多个数据追踪器。管理追踪器会自动识别并关联当前租户所使用的所有云服务,并将当前租户的所有操作记录在该追踪器中。数据追踪器会记录租户对OBS桶中的数据操作的详细信息。
事件列表用于记录哪些信息? 事件列表记录了两种事件,分别为管理类事件和数据类事件。管理类事件指云账户中对云服务资源新建、配置、删除等操作的详细信息。数据类事件指针对数据的操作日志,例如上传、下载等。 事件列表不记录查询操作的相关信息。
登录云审计控制台。 单击左侧导航栏的“事件列表”,进入事件列表页面。 单击页面上方的“最近1小时”,设置查询的时间范围。 单击“导出”按钮,选择“导出全部数据到XLSX”。云审计服务会将查询结果以.xlsx格式的表格文件导出,该.xlsx文件包含了本次查询结果的所有事件,且最多导出5000条信息。
审计与日志 云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户使用云审计服务并创建和配置追踪器后,CTS可记录CTS的管理事件用于审计。
olume”,单击“查询”按钮执行搜索,默认查询过去1小时以内所有创建或删除EVS的操作。通过设置时间范围,最多可以查询7天以内所有创建或删除EVS的操作。 若要获取最近7天以前的操作记录,则需要到OBS桶或LTS日志组中查询。查询历史事件的详细操作请参照查询云审计服务转储事件。
录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 您开通云审计服务并创建和配置追踪器后,CTS可记录CTS的管理事件审计。详情请参考开通云审计。 云审计服务支持多维度资源查询,便于云上用户事后精准审查定位。 图1 事件列表 父主题: CTS安全最佳实践
示例1:创建管理类追踪器 场景描述 本章以创建一个配置OBS转储桶的管理类追踪器为例。 涉及其它云服务接口 创建管理类追踪器时,需要查询用户的桶列表: 获取桶列表:确定将要配置转储的桶名称。 创建管理类追踪器 接口相关信息 URI格式:POST /v3/{project_id}/tracker
创建追踪器 功能介绍 云审计服务开通后系统会自动创建一个追踪器,用来关联系统记录的所有操作。目前,一个云账户在一个Region下仅支持创建一个管理类追踪器。 云审计服务支持在管理控制台查询近7天内的操作记录。如需保存更长时间的操作记录,您可以在创建追踪器之后通过对象存储服务(Object
配置云审计事件转储至LTS并查看 云审计服务记录了租户对云服务资源新建、修改、删除等操作的详细信息,控制台事件列表中会保存最近7天的操作记录。如果需要将操作记录保存7天以上,则需要配置事件转储至LTS功能,云审计服务会定期将操作记录同步保存到用户定义的LTS日志流中进行长期保存。
单击左侧导航树的“事件列表”,进入事件列表界面。 在事件列表界面依次选择过滤条件,“事件类型”>“事件来源”>“资源类型”>“筛选类型”,单击“查询”执行搜索,查看过滤结果。 过滤条件查询示例:依次选择“管理事件”>“ECS”>“ecs”>“按资源ID”>“虚拟机ID”,单击“查询”执行搜索,
开启云审计服务配置OBS桶,将审计事件归档OBS永久存储 由于CTS只支持查询7天的审计事件,为了您事后审计、查询、分析等要求,启用CTS追踪器请配置OBS服务桶(建议您配置独立OBS桶并配置DEW加密存储专门用于归档审计事件)。当云上资源发生变化时,CTS服务将审计事件归档至O
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
