检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
监控安全风险 CTS通过关键操作通知监控安全风险,保障数据安全可靠。 表1 CTS的监控安全风险 监控安全风险 简要说明 详细介绍 关键操作通知 云审计服务在记录某些特定关键操作时,支持对这些关键操作通过消息通知服务实时向相关订阅者发送通知,该功能由云审计服务触发,消息通知服务(SMN)完成通知发送。
使用云监控服务对重点审计事件进行实时监控告警 云审计会将华为云ECS、VPC、EVS等云服务重点审计事件如: deleteServer、deleteVpc、deleteVolume等发送CES事件监控中,您可使用该服务监控自己的云上资源操作频率,执行自动实时监控、告警和通知操作,
开通消息通知服务(SMN),并创建主题(本实践要求主题的名称为“cts-test”),添加订阅(本实践要求订阅的协议选择“邮件”),才能在CTS控制台使用关键操作消息通知功能。具体操作,请参见创建主题和添加订阅。 使用消息通知服务(SMN)创建主题、添加邮件订阅,这会产生额外费用,SMN的计费详情请参考产品价格详情。
CTS会记录云服务器创建失败的事件吗? CTS会记录云服务器创建失败的事件。用户进行创建云服务器操作时,这个操作动作和操作结果会上报到CTS中。 工作原理 云审计服务支持审计ECS服务,记录云服务器相关的操作事件,便于日后的查询、审计和回溯。 CTS支持审计的ECS关键操作请参考
如何给云硬盘添加告警通知? 问题描述 如何给云硬盘的操作添加告警通知。 操作步骤 登录云审计控制台。 左侧导航栏选择“关键操作通知”,单击“创建关键操作通知”。 在“配置操作”模块选择“自定义操作”,依次勾选“EVS > evs”的四个关键操作名称,即可对云硬盘的操作添加告警通知。
添加事件源 选择准备中开通的CTS云审计服务,创建CTS触发器,CTS触发器配置如图1所示。 具体操作请参见使用CTS触发器。 图1 创建CTS触发器 CTS云审计服务监听IAM服务中user资源类型,监听login、logout操作。 父主题: 结合函数工作流对登录/登出进行审计分析
批量添加CTS资源标签 功能介绍 批量添加CTS资源标签。 调用方法 请参见如何调用API。 URI POST /v3/{project_id}/{resource_type}/{resource_id}/tags/create 表1 路径参数 参数 是否必选 参数类型 描述 project_id
单击左侧导航树的“事件列表”,进入事件列表界面。 时间范围选择某日上午6点到中午12点,然后在搜索框中依次查询: “云服务:ECS” > “资源类型:ecs” > “资源ID:{问题虚拟机ID}”,或直接搜索{问题虚拟机ID},查看过滤结果。 逐条查看操作记录,注意请求的类型和响应结果,特别关注“事件级别”为W
通过云日志服务LTS存储和查询审计事件 本章节以“创建云服务器”(操作名称:createServer)为例,为您介绍如何通过云日志服务(LTS)存储和查询审计事件。 使用云审计服务监控“创建IAM用户”操作 本章节为您介绍如何通过云审计服务的操作审计和关键操作通知功能,对“创建IAM用户”操作进行监控,并通过邮件通知方式进行告警。
None 操作视频 云审计服务 CTS 如何查看操作事件 02:30 查看操作事件 云审计服务 CTS 如何创建追踪器 03:01 创建追踪器 云审计服务 CTS 如何创建关键操作通知 04:27 创建关键操作通知
CTS”,进入云审计服务详情页面。 单击左侧导航树的“事件列表”,进入事件列表界面。 在搜索框中依次查询: “云服务:ECS” > “资源类型:ecs” > “资源ID:{问题虚拟机ID}”,或直接搜索{问题虚拟机ID},查看过滤结果。 默认查询过去1小时以内的操作记录。通过设置时间范围,最多可以查看最近7天的操作记录。
tracker_name=system 响应示例 无 状态码 状态码 描述 204 删除成功。 400 服务器未能处理请求。 401 请求鉴权校验失败,访问被拒绝。 403 请求权限校验失败,访问被禁止。 404 服务器无法找到被请求的资源或部分追踪器删除失败。 500 服务内部异常,请求未完成;或部分追踪器删除失败。
审计操作参考文档 计算 弹性云服务器 弹性云服务器支持审计的操作列表 镜像服务 镜像服务支持审计的操作列表 裸金属服务器 裸金属服务器支持审计的操作列表 弹性伸缩 弹性伸缩支持审计的操作列表 函数工作流 函数工作流支持审计的操作列表 云手机 云手机支持审计的操作列表 存储 云服务器备份 云服务器备份支持审计的操作列表
"request":记录了创建ECS服务器的请求,可以抽取该ECS服务器的简单信息,如name为ecs-test-bandwidth,资源id(vpcid字段)为250ad46d-9c89-44ec-a97d-293da771b06b。 "response":记录了创建ECS服务的返回结果,可
云审计服务(CTS)直接对接华为云上的其他服务,实时记录用户对云服务资源的操作动作和结果,还支持将记录内容以事件文件形式保存至OBS桶或LTS日志流中。本文以“创建云服务器”(操作名称:createServer)为例,为您介绍如何通过云日志服务(LTS)存储和查询审计事件。 前提条件 请确保已开通云审计服务。具体操作,请参见开通云审计服务。
S服务和LTS服务,事件文件将保存在OBS桶和LTS日志组中。 用户可以对事件文件执行以下两种操作: 事件文件的创建和保存: 当用户在弹性云服务器、云硬盘服务、镜像服务等其它与云审计服务完成对接的服务中,进行了增加、删除、修改类型的操作时,被操作的服务会自动记录操作动作及操作结果
因此需要提前了解消息通知服务的创建主题、添加订阅等操作。 云审计服务支持创建100个关键操作通知: 自定义类型的关键操作通知支持单独设置触发操作范围、指定操作用户和通知主题。 完整类型的关键操作通知,支持通知主题。 如果云审计服务和云监控服务使用同一消息主题,则接受终端一样,但是发送的内容不同。
产品介绍 什么是云审计服务 工作原理 使用场景 基本概念 03 使用 云审计服务开启成功后,您可以查看云服务资源的关键操作事件。 常用操作 弹性云服务器关键操作列表 对象存储服务关键操作列表 02 入门 快速了解云审计服务在不同应用场景中的操作流程。 快速入门 开通云审计服务 查看追踪事件
"disabled" } 响应示例 无 状态码 状态码 描述 200 请求正常。 400 服务器未能处理请求。 401 请求鉴权校验失败,访问被拒绝。 403 请求权限校验失败,访问被禁止。 404 服务器无法找到被请求的资源。 500 服务内部异常,请求未完成;或部分追踪器删除失败。 错误码
键操作通知需要使用消息通知服务向相关的订阅者发送通知,因此需要提前了解消息通知服务的创建主题、添加订阅等操作。 操作视频 操作场景 关键操作通知主要应用于以下场景: 高危操作(重启虚拟机、变更安全配置等)、成本敏感操作(创建、删除高价资源等)、业务敏感操作(网络配置变更等)的实时感知和确认。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
