检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
”,在指定时间范围内的摘要文件可以从最近开始往前连续校验。 摘要文件桶 摘要文件提交到和事件文件相同的与跟踪器关联的OBS桶中。 摘要文件存储文件夹 摘要文件存放在与事件文件不同的文件夹中,分开放置便于您执行细粒度安全策略。 父主题: 校验云审计事件文件完整性
开启事件文件完整性校验功能 操作场景 在安全和事故调查中,通常由于事件文件被删除或者被私下篡改,而导致操作记录的真实性受到影响,无法对调查提供有效真实的依据。事件文件完整性校验功能旨在帮助您确保事件文件的真实性。 开启事件文件完整性校验功能 登录管理控制台。 在管理控制台左上角单击图标,选择区域和项目。
CTS如何长期保存事件文件——转储至OBS桶 云审计服务仅保存近7天的事件,可以对追踪器增加OBS转储的相关配置,将事件同步、长期保存至OBS桶。具体操作请参考配置追踪器。
启用事件文件完整性校验后,云审计将摘要文件提交到您的OBS桶中,您可以使用这些文件实现自己的校验解决方案。有关摘要文件的更多信息,请参阅摘要文件。 操作前提 在进行事件文件完整性校验前,您需先了解云审计摘要文件的签名方式: 云审计摘要文件使用RSA数字签名,对于每个摘要文件,云审计执行以下操作:
跨租户密钥授权OBS桶转储失败怎么办? 问题描述 租户A通过DEW密钥授权机制,通过用户ID方式将DEW密钥共享给另外一个租户的子用户B。用户B创建了使用租户A DEW密钥加密的OBS桶,用户B在配置CTS系统追踪器时,选择转储到该加密OBS桶后,会配置失败。 操作步骤 登录用户B的管理控制台。
CTS会记录云服务器创建失败的事件吗? CTS会记录云服务器创建失败的事件。用户进行创建云服务器操作时,这个操作动作和操作结果会上报到CTS中。 工作原理 云审计服务支持审计ECS服务,记录云服务器相关的操作事件,便于日后的查询、审计和回溯。 CTS支持审计的ECS关键操作请参考
校验云审计事件文件完整性 开启事件文件完整性校验功能 摘要文件 事件文件完整性校验
云审计服务是否支持事件文件的完整性校验? 支持。原则上进行完整性校验时必须包含以下字段:time、service_type、resource_type、trace_name、trace_rating、trace_type,其他字段由各服务自己定义。
的费用),为您提供事件文件转储、事件文件加密等增值服务,这些增值服务可能产生额外费用,通常情况下,云审计服务产生的增值服务费用很低,因此建议您根据实际需要搭配使用。 增值服务列表如下: 事件转储:需要使用对象存储服务(OBS),管理类追踪器配置的转储事件文件将永久保存,数据类追踪器配置的转储事件按照转储的时间保存。
对象存储服务支持审计的操作列表 云硬盘 云硬盘支持审计的操作列表 云硬盘备份 云硬盘备份支持审计的操作列表 内容分发网络 内容分发网络支持审计的操作列表 高性能弹性文件服务 高性能弹性文件服务支持审计的操作列表 云备份 云备份支持审计的操作列表 云存储网关 云存储网关支持审计的操作列表 网络
在事件列表页面,您还可以导出操作记录文件、刷新列表、设置列表展示信息等。 在搜索框中输入任意关键字,按下Enter键,可以在事件列表搜索符合条件的数据。 单击“导出”按钮,云审计服务会将查询结果以.xlsx格式的表格文件导出,该.xlsx文件包含了本次查询结果的所有事件,且最多导出5000条信息。
云审计服务根据操作记录中的trace_rating来定义事件级别,不同的字段代表的意义如下: normal:代表本次操作成功 warning:代表本次操作失败 incident:代表本次操作引起了比失败更严重的后果,比如会造成节点故障或用户业务故障等情况。
使用IAM用户无法开通CTS怎么办? 问题描述 使用IAM用户开通CTS失败。 操作步骤 查看IAM用户是否有权限。 是:继续执行2。 否:联系CTS管理员(主账号或admin用户组中的用户)对IAM用户授予CTS FullAccess权限,授权方法请参见给IAM用户授权。 IA
收回时间 5分钟 用户通过云审计控制台能查询多久的操作事件 说明: 云审计默认为每个华为云账号记录最近7天的操作事件,如果不配置转储,您将无法追溯7天以前的操作事件。如果您已经配置追踪器转储事件至OBS/LTS,则保存周期以您在OBS/LTS控制台的配置为准。配置追踪器转储至OBS/LTS的详情请参考配置追踪器。
CSV格式的表格文件导出,该CSV文件包含了本次查询结果的所有事件,且最多导出5000条信息。 选择完查询条件后,单击“查询”。 在事件列表页面,您还可以导出操作记录文件和刷新列表。 单击“导出”按钮,云审计服务会将查询结果以CSV格式的表格文件导出,该CSV文件包含了本次查询结
如果用户已开通云审计服务,但OBS桶未配置正确的策略,会出现什么情况? 云审计服务会根据既有的OBS存储桶策略来传送事件文件。如果错误地配置OBS存储桶策略,那么云审计服务将无法传送事件文件。 被删除或有异常的OBS桶,管理控制台界面会显示相应的错误提示信息。用户可选择重新创建OBS桶或重新配置OBS桶的访问权限。
参见事件结构和事件样例。 图2 查看事件文件内容 文件下载到本地后,通过解压可以得到与压缩包同名的json文件,下载解压后的json文件如图3所示,通过记事本等txt文档编辑软件即可查看到保存的追踪日志信息。 图3 下载解压后的json文件 查询LTS中转储事件 配置追踪器时,若
云审计服务会定时将跟踪到的事件以事件文件的形式按周期保存至OBS桶。事件文件是按照服务、转储周期两个维度生成的事件集,系统会根据当前负载情况调整每个事件文件包含的事件数。云审计服务还支持将审计日志保存到LTS日志流中。 本节介绍如何在OBS中通过下载事件文件查看已保存至OBS桶的历史操作
源动作和结果的实时记录功能。 使用云审计服务创建追踪器可以跟踪记录事件文件。如已配置事件转储至OBS服务和LTS服务,事件文件将保存在OBS桶和LTS日志组中。 用户可以对事件文件执行以下两种操作: 事件文件的创建和保存: 当用户在弹性云服务器、云硬盘服务、镜像服务等其它与云审计
保事件文件的真实性。 事件文件完整性校验功能使用业界标准算法构建,对事件文件生成原始哈希值,当事件文件被修改或者删除时,该哈希值就会发生改变,通过对哈希值进行追踪查看就能确定事件文件是否被修改;同时采用RSA算法对摘要文件进行签名,保证摘要文件不被修改。这样任何对事件文件进行修改
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
