检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
处理结果 若用户触发账号的登录/登出操作,订阅服务类型日志被触发,日志会直接调用用户函数,通过函数代码对当前登录/出的账号进行IP过滤,若不在白名单内,可收到SMN发送的通知消息邮件,如图1所示。 图1 告警消息邮件通知 邮件信息中包含非法请求ip地址和用户执行的动作(login/logout)。
为防止资源滥用,平台限定了各服务资源的配额,对用户的资源数量和容量做了限制。如您最多可以创建多少关键操作通知。 如果当前资源配额限制无法满足使用需要,您可以申请扩大配额。 怎样查看我的配额? 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面右上角,选择“资源 > 我的配额”。 系统进入“服务配额”页面。
追踪器配置成功后,您可以在追踪器信息页面查看配置的追踪器的详细信息。 因为CTS所存储的事件是周期性转储到OBS桶的,因此当您配置了追踪器所对应的OBS桶后,当前转储周期内(通常为数分钟)已收到事件会转储到配置后的OBS桶中。例如当前转储周期为12:00~12:05,用户在12:02分修改了当前追踪器对应的OBS桶,
云审计服务会定时将跟踪到的事件以事件文件的形式按周期保存至OBS桶。事件文件是按照服务、转储周期两个维度生成的事件集,系统会根据当前负载情况调整每个事件文件包含的事件数。云审计服务还支持将审计日志保存到LTS日志流中。 本节介绍如何在OBS中通过下载事件文件查看已保存至OBS桶的历史操作记录
从政策、行业规范角度,云审计服务是信息安全审计功能的核心必备组件,是企事业单位信息系统安全风险管控的重要组成部分,也是很多行业标准、审计规范的必备组成部分。 从应用角度,云审计服务是云资源出现问题时,降低问题定位时间和人力成本的有效手段,能够精确定位到问题发生时的所有操作,借以减小问题排查范围。
用户可以对事件文件执行以下两种操作: 事件文件的创建和保存: 当用户在弹性云服务器、云硬盘服务、镜像服务等其它与云审计服务完成对接的服务中,进行了增加、删除、修改类型的操作时,被操作的服务会自动记录操作动作及操作结果,并按照指定的格式发送事件到云审计服务完成事件归档。 云审计服务管理控制台会保存最近7天的操作记录,
理类追踪器将多个账号记录的事件统一转储到一个OBS桶。本节介绍如何配置跨租户转储。 授权跨租户转储 租户B登录管理控制台。 租户A为需要配置跨租户转储的账号,租户B为OBS桶所在的账号。 OBS不支持跨region转储,目前OBS桶所处区域只能是不同租户的同一个region。 在
查询追踪器 功能介绍 开通云审计服务成功后,您可以在追踪器信息页面查看系统自动创建的追踪器的详细信息。详细信息主要包括追踪器名称,用于存储操作事件的OBS桶名称和OBS桶中的事件文件前缀。 URI GET /v1.0/{project_id}/tracker 表1 路径参数 参数
Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户使用云审计服务并创建和配置追踪器后,CTS可记录CTS的管理事件用于审计。 CTS的入门指导和基本操作,请参见云审计服务《快速入门》。
过去1小时以内的操作记录。通过设置时间范围,最多可以查看最近7天的操作记录。 单击左侧导航树的“追踪器”,进入追踪器详情页面,获取OBS桶名或LTS日志组信息。 参照查询云审计服务转储事件查询7天之前或者所有的事件。 从第5步和第7步的结果中,检视该弹性云服务器的所有操作和变更记录。
开启事件文件完整性校验功能 操作场景 在安全和事故调查中,通常由于事件文件被删除或者被私下篡改,而导致操作记录的真实性受到影响,无法对调查提供有效真实的依据。事件文件完整性校验功能旨在帮助您确保事件文件的真实性。 开启事件文件完整性校验功能 登录管理控制台。 在管理控制台左上角单击图标,选择区域和项目。
使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看,或者到组织追踪器配置的OBS桶中查看,也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录,您必
使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看,或者到组织追踪器配置的OBS桶中查看,也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录,您必
追踪器配置成功后,您可以在追踪器信息页面查看配置的追踪器的详细信息。 因为CTS所存储的事件是周期性转储到OBS桶的,因此当您配置了追踪器所对应的OBS桶后,当前转储周期内(通常为数分钟)已收到事件会转储到配置后的OBS桶中。例如当前转储周期为12:00~12:05,用户在12:02分修改了当前追踪器对应的OBS桶,
如何给云硬盘添加告警通知? 问题描述 如何给云硬盘的操作添加告警通知。 操作步骤 登录云审计控制台。 左侧导航栏选择“关键操作通知”,单击“创建关键操作通知”。 在“配置操作”模块选择“自定义操作”,依次勾选“EVS > evs”的四个关键操作名称,即可对云硬盘的操作添加告警通知。
BS永久存储 由于CTS只支持查询7天的审计事件,为了您事后审计、查询、分析等要求,启用CTS追踪器请配置OBS服务桶(建议您配置独立OBS桶并配置DEW加密存储专门用于归档审计事件)。当云上资源发生变化时,CTS服务将审计事件归档至OBS的桶,操作详情参考:追踪器配置OBS转储。
以根据自身的业务需求使用云审计服务提供的一系列常用实践。 表1 常用最佳实践 实践 描述 结合函数工作流对登录/登出进行审计分析 该实践介绍如何通过CTS云审计服务,完成对公有云账户的各个云服务资源操作和结果的实时记录。 通过在函数工作流服务中创建CTS触发器获取订阅的资源操作信
本文介绍了云审计服务CTS各特性版本的功能发布和对应的文档动态,新特性将在各个区域(Region)陆续发布,欢迎体验。 2022年3月 序号 功能名称 功能描述 阶段 1 支持对接分布式消息服务 RocketMQ版 可以记录与分布式消息服务 RocketMQ版相关的操作事件,便于日后的查询、审计和回溯。
S桶中的数据的操作日志,例如上传、下载等。 在开通云审计服务时,系统已为您自动创建了一个管理事件追踪器,管理事件追踪器只能有一个,故后续您自行创建的追踪器均为数据类事件追踪器。 CTS仅记录最近7天内的操作事件,您需要配置追踪器来保存更长时间的事件,否则将无法追溯7天前的操作事件
云审计服务管理控制台支持停用/启用已创建的追踪器。追踪器停用成功后,系统将不再记录新的操作,但是您依旧可以查看已有的操作记录。 本节介绍如何停用/启用追踪器。 使用限制 停用追踪器后,操作事件仍可以正常上报到云审计服务。您可以在事件列表查看已有的7天内的操作记录,但是您无法查看新的操作记录、转储事件至OBS/LTS和接收关键事件通知。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
