检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
CTS会记录云服务器创建失败的事件吗? CTS会记录云服务器创建失败的事件。用户进行创建云服务器操作时,这个操作动作和操作结果会上报到CTS中。 工作原理 云审计服务支持审计ECS服务,记录云服务器相关的操作事件,便于日后的查询、审计和回溯。 CTS支持审计的ECS关键操作请参考
关于云监控服务的更多介绍,请参见云监控服务产品介绍。 下面以IAM服务用户登录、登出事件为例,选择CES的事件监控,选择用户登录时间。 图1 事件监控 设置告警策略,可以设置一个事件周期,阀值超过设置可视为此用户登录异常产生。 图2 告警策略 父主题: CTS安全最佳实践
如何通过云审计服务确认ECS的创建用户 问题描述 如果您需要确定一台ECS的创建用户,可以通过CTS记录的事件进行查看。 前提条件 已开启云审计服务 已开启获取创建的ECS主机的资源ID 操作方法 登录云审计控制台。 单击左侧导航树的“事件列表”,进入事件列表界面。 时间范围选择
求访问请求方出示身份凭证,并进行身份合法性校验,同时提供登录保护和登录验证策略加固身份认证安全。CTS服务基于统一身份认证服务(IAM),支持三种方式身份认证方式:用户名密码、访问密钥、临时访问密钥。同时还提供登录保护及登录验证策略。 访问控制 对企业中的员工设置不同的CTS访问
单击左侧导航树的“事件列表”,进入事件列表界面。 时间范围选择某日上午6点到中午12点,然后在搜索框中依次查询: “云服务:ECS” > “资源类型:ecs” > “资源ID:{问题虚拟机ID}”,或直接搜索{问题虚拟机ID},查看过滤结果。 逐条查看操作记录,注意请求的类型和响应结果,特别关注“事件级别”为w
、资源类型、动作,云审计服务将实时根据您配置邮件或短信的规则通过消息通知服务(SMN)发送通知。以ECS服务为例,在云审计界面选择事件通知,选择ECS服务,选择ECS的资源类型ecs,选择对应的action,然后订阅SMN通知即可。具体操作和邮件通知范例如下图: 图1 关键操作通知
7”,委托名称选择创建委托中的“serverless_trust”。 函数实现的功能是:将收到的日志事件数据进行分析,过滤白名单功能,对非法IP登录/登出,进行SMN消息主题邮件告警。形成良好的账户安全监听服务。 设置环境变量 在函数配置页签需配置环境变量,设置SMN主题名称,说明如表1所示。
CTS”,进入云审计服务详情页面。 单击左侧导航树的“事件列表”,进入事件列表界面。 在搜索框中依次查询: “云服务:ECS” > “资源类型:ecs” > “资源ID:{虚拟机ID}”,或直接搜索{虚拟机ID},查看过滤结果。 默认查询过去1小时以内的操作记录。通过设置时间范围,最多可以查看最近7天的操作记录。
为什么按需和包周期创建虚拟机的时候会有两个deleteMetadata事件? 由于系统在创建虚拟机的时候需要使用metadata存储临时信息,在创建虚拟机完成后会自动删除该信息,因此会触发两个deleteMetadata信息。
请求什么类型的操作。 GET:请求服务器返回指定资源。 PUT:请求服务器更新指定资源。 POST:请求服务器新增资源或执行特殊操作。 DELETE:请求服务器删除指定资源,如删除对象等。 HEAD:请求服务器资源头部。 PATCH:请求服务器更新资源的部分内容。当资源不存在的时
详细格式定义请参考桶策略参数说明。 根据租户A登录方式的不同,桶策略有不同的授权对象,包含以下场景:以普通用户登录租户A账号、以联邦租户登录租户A账号、以委托身份切换到租户A账号、以IAM身份中心用户登录租户A账号。 以普通用户登录租户A配置CTS追踪器: { "Statement":
支持审计的服务及操作列表 分类 云服务 service_type 审计操作参考文档 计算 弹性云服务器 ECS 弹性云服务器支持审计的操作列表 镜像服务 IMS 镜像服务支持审计的操作列表 裸金属服务器 BMS 裸金属服务器支持审计的操作列表 弹性伸缩 AS 弹性伸缩支持审计的操作列表 函数工作流
S服务和LTS服务,事件文件将保存在OBS桶和LTS日志组中。 用户可以对事件文件执行以下两种操作: 事件文件的创建和保存: 当用户在弹性云服务器、云硬盘服务、镜像服务等其它与云审计服务完成对接的服务中,进行了增加、删除、修改类型的操作时,被操作的服务会自动记录操作动作及操作结果
关于云审计服务事件结构的关键字段详解,请参见事件结构和事件样例。 单击按钮,可以下载日志文件到本地。 LTS单次下载支持最大5,000条日志。若所选日志超过5000条,不可使用LTS本地下载功能,请选择OBS转储下载。
关键操作通知服务支持哪些服务? 云审计服务支持对全部的关键操作发送通知,支持的服务类型包括ECS、EVS、VPC、DEW、IAM和原生OpenStack等,支持的操作类型上包括创建、删除、修改、登录和对原生OpenStack接口等操作。
事件文件完整性校验 操作场景 由于云审计采用了行业标准、可公开使用的签名算法和哈希函数,因此,您可以自行创建用于校验云审计事件文件完整性的工具。原则上进行完整性校验时必须包含字段time、service_type、resource_type、trace_name、trace_ra
云审计服务(CTS)直接对接华为云上的其他服务,实时记录用户对云服务资源的操作动作和结果,还支持将记录内容以事件文件形式保存至OBS桶或LTS日志流中。本文以“创建云服务器”(操作名称:createServer)为例,为您介绍如何通过云日志服务(LTS)存储和查询审计事件。 前提条件 请确保已开通云审计服务。具体操作,请参见开通云审计服务。
tracker_name=system 响应示例 无 状态码 状态码 描述 204 删除成功。 400 服务器未能处理请求。 401 请求鉴权校验失败,访问被拒绝。 403 请求权限校验失败,访问被禁止。 404 服务器无法找到被请求的资源或部分追踪器删除失败。 500 服务内部异常,请求未完成;或部分追踪器删除失败。
"request":记录了创建ECS服务器的请求,可以抽取该ECS服务器的简单信息,如name为ecs-test-bandwidth,资源id(vpcid字段)为250ad46d-9c89-44ec-a97d-293da771b06b。 "response":记录了创建ECS服务的返回结果,可
操作视频 操作场景 关键操作通知主要应用于以下场景: 高危操作(重启虚拟机、变更安全配置等)、成本敏感操作(创建、删除高价资源等)、业务敏感操作(网络配置变更等)的实时感知和确认。 越权操作感知:如高权限用户的登录、某用户进行了其权限范围之外的操作的实时感知和确认。 对接用户自有审
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
