检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
<idp_id>:<user-session-name> 在云审计事件列表的“操作用户”一栏,可以查看对应事件的操作用户(user.name)信息。 本章节将介绍说明不同的操作用户身份在操作资源时,对应的事件列表中“操作用户”信息的示例,以方便用户更直观的理解操作用户信息。 IAM用户身份
功能总览 功能总览 全部 云审计服务 追踪器 事件 事件文件 事件文件完整性校验 云审计服务 云审计服务(Cloud Trace Service,简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。
开启云审计服务配置OBS桶,将审计事件归档OBS永久存储 由于CTS只支持查询7天的审计事件,为了您事后审计、查询、分析等要求,启用CTS追踪器请配置OBS服务桶(建议您配置独立OBS桶并配置DEW加密存储专门用于归档审计事件)。当云上资源发生变化时,CTS服务将审计事件归档至O
构造请求 本节介绍REST API请求的组成,并以调用IAM服务的管理员创建IAM用户接口说明如何调用API。 您还可以通过这个视频教程了解如何构造请求调用API:https://bbs.huaweicloud.com/videos/102987。 请求URI 请求URI由如下部分组成。
参数 是否必选 参数类型 描述 buckets 否 Array of CheckBucketRequest objects 请求检查的OBS桶列表。 表3 CheckBucketRequest 参数 是否必选 参数类型 描述 bucket_name 是 String 标识OBS桶名称
快速入门 本节通过调用CTS创建追踪器接口来创建一个追踪器。 通过IAM服务获取到的Token有效期为24小时,需要使用同一个Token鉴权时,可以先将Token缓存,避免频繁调用。 涉及API 当您使用Token认证方式完成认证鉴权时,需要获取用户Token并在调用接口时增加“
previous_digest_end 是 Boolean 前一摘要文件是否为摘要结束文件。 log_files 否 Array 摘要文件记录的事件文件列表。 bucket 是 String 事件文件提交到的OBS桶的名称。 object 是 String 事件文件存储在OBS桶中的位置。 log_hash_value
案例概述 场景介绍 通过CTS云审计服务,完成对公有云账户对各个云服务资源操作动作和结果的实时记录。 通过在函数工作流服务中创建CTS触发器获取订阅的资源操作信息,经由自定义函数对资源操作的信息进行分析和处理,产生告警日志。 SMN消息通知服务通过短信和邮件推送告警信息,通知业务人员进行处理。处理流程如图1所示。
为什么查看事件窗口中的有些事件的字段为空? 可以为空的字段有source_ip、code、request、response和message,这些字段并非云审计服务规定的必备字段: source_ip:当trace type为SystemAction时,表示本次操作由服务内部触发,此时缺失IP字段为正常情况。
用户公有云帐户欠费给云审计服务带来的影响? 当用户公有云帐户欠费时,云审计服务依旧可以接收所支持服务发送的操作信息,但只能保存近7天的操作记录。因为7天之前的历史操作记录会以事件文件的形式实时保存至OBS桶,而将事件文件存储于OBS桶所产生的流量需要付费。 此时只能对追踪器执行“删除”操作。
CTS最佳实践汇总 本文汇总了基于云审计服务(CTS,Cloud Trace Service)常见应用场景的操作实践,为每个实践提供详细的方案描述和操作指导,帮助用户轻松构建基于CTS的审计事件业务。 表1 CTS最佳实践一览表 最佳实践 说明 结合函数工作流对登录/登出进行审计分析
删除关键操作通知 功能介绍 云审计服务支持删除已创建的关键操作通知。 调用方法 请参见如何调用API。 URI DELETE /v3/{project_id}/notifications 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID,参见获取账号ID和项目ID章节。
如何配置CTS审计日志存储180天? 问题描述 搜索回溯一些问题,需要审计日志存储180天,如何配置审计日志存储时间? 操作步骤 开通云审计日志后,系统会自动创建一个名为system的管理事件追踪器,并将当前租户的所有操作记录在该追踪器中。在追踪器中配置CTS转储到LTS,配置完
开启事件文件完整性校验功能 操作场景 在安全和事故调查中,通常由于事件文件被删除或者被私下篡改,而导致操作记录的真实性受到影响,无法对调查提供有效真实的依据。事件文件完整性校验功能旨在帮助您确保事件文件的真实性。云审计服务支持对配置了OBS转储的追踪器设置事件文件的完整性校验。 开启事件文件完整性校验功能
查询不到事件怎么办? 问题描述 在CTS控制台查询不到事件。 操作方法 查看是否已选择正确的时间范围。 查看筛选条件是否选择正确。您可以在筛选器组合一个或多个筛选条件: 事件名称:输入事件的名称。 事件ID:输入事件ID。 资源名称:输入资源的名称,当该事件所涉及的云资源无资源名
查询云审计服务转储事件 操作场景 云审计服务会定时将跟踪到的事件以事件文件的形式按周期保存至OBS桶。事件文件是按照服务、转储周期两个维度生成的事件集,系统会根据当前负载情况调整每个事件文件包含的事件数。云审计服务还支持将审计日志保存到LTS日志流中。 本节介绍如何在OBS中通过
使用云审计服务监控华为云账号的使用 华为云账号是您的华为云资源归属、资源使用计费的主体。华为云账号泄露会威胁您所有资源的安全。您可以使用云审计服务监控华为云账号的使用,设置告警保障您的华为云账号下资源的安全。 本章为您介绍如何通过云审计服务的操作审计功能和转储审计日志到LTS功能
使用云审计服务监控AccessKey的使用 访问密钥(AccessKey)包括访问密钥ID(AccessKey ID)和访问密钥密码(AccessKey Secret),用于标识用户和验证用户的密钥。AccessKey泄露会威胁您资源的安全。 云审计服务帮助您监控AccessKe
查询转储事件 操作场景 云审计服务会定时将跟踪到的事件以事件文件的形式按周期保存至OBS桶。事件文件是按照服务、转储周期两个维度生成的事件集,系统会根据当前负载情况调整每个事件文件包含的事件数。云审计服务还支持将审计日志保存到LTS日志流中。 本节介绍如何在OBS中通过下载事件文
错误码 当您调用API时,如果遇到“APIGW”开头的错误码,请参见API网关错误码进行处理。 更多服务错误码请参见API错误中心。 状态码 错误码 错误信息 描述 处理措施 400 CTS.0001 The IAM or OBS service is abnormal. IAM或OBS服务异常
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
