检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
SDK概述 本文介绍了CTS服务提供的SDK语言版本,列举了最新版本SDK的获取地址。 在线生成SDK代码 API Explorer能根据需要动态生成SDK代码功能,降低您使用SDK的难度,推荐使用。 SDK列表 表1提供了CTS服务支持的SDK列表,您可以在GitHub仓库查看
审计与日志 云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户使用云审计服务并创建和配置追踪器后,CTS可记录CTS的管理事件用于审计。
改日志流存储时间为180天,即可实现CTS审计日志存储180天。 登录管理控制台。 如果您是以主账号登录华为云,请直接进入云审计服务详情页面。 如果您是以IAM用户登录华为云,请先联系管理员(主账号、admin用户组中的用户)对IAM用户授予以下权限,授权方法请参见给IAM用户授权。
String 标识查询事件列表对应的云服务类型。必须为已对接CTS的云服务的英文缩写,且服务类型一般为大写字母。 当"trace_type"字段值为"system"时,该字段筛选有效"。 已对接的云服务列表参见《云审计服务用户指南》“支持审计的服务及详细操作列表”章节。 user 否
使用云审计服务前需要开通云审计服务,开通云审计服务时系统会自动创建一个追踪器。该追踪器会自动识别并关联当前租户所使用的所有云服务,并将当前租户的所有操作记录在该追踪器中。 目前,一个租户仅支持创建1个管理追踪器和100个数据追踪器。 事件 事件即云审计服务追踪并保存的云服务资源的操
API概览 云审计服务所提供的接口为扩展接口。通过使用云审计服务所提供的接口,您可以完整的使用云审计服务的所有功能。例如查询API版本号、事件列表、创建追踪器等。 云审计服务提供的具体API如表1所示。 表1 接口说明 子类型 说明 API版本号 CTS API的版本查询接口,支
String 标识查询事件列表对应的云服务类型。必须为已对接CTS的云服务的英文缩写,且服务类型一般为大写字母。已对接的云服务列表参见《云审计服务用户指南》“支持审计的服务及详细操作列表”章节,单击对应云服务的文档链接,可以查看到该云服务的英文缩写。 resource_type String
在管理控制台左上角单击图标,选择区域和项目。 单击左上角,选择“管理与监管 > 云审计服务 CTS”,进入云审计服务页面。 单击左侧导航树的“追踪器”,进入追踪器信息页面。 若未开通云审计服务,单击“开通云审计服务”, 开通云审计服务步骤请参见入门指引。 单击管理类追踪器system右侧的“配置”按
String 标识查询事件列表对应的云服务类型。必须为已对接CTS的云服务的英文缩写,且服务类型一般为大写字母。已对接的云服务列表参见《云审计服务用户指南》“支持审计的服务及详细操作列表”章节,单击对应云服务的文档链接,可以查看到该云服务的英文缩写。 resource_type String
事件如下: 第一条事件:记录用户发起的请求; 第二条事件:记录用户请求的操作结果,通常与第一条时间记录有数分钟的延迟,记录用户请求的实际响应结果。 两条事件需要结合在一起,才能反映用户本次操作的真实结果。
当现网某个特定资源或动作出现问题,可根据云审计服务收集的日志记录,通过查询对应时间、对应资源的操作记录,查看当时的请求动作和响应,支撑问题定位分析。 本章节介绍,通过云审计服务如何定位现网某个弹性云服务器在某日上午发生的故障,以及如何定位现网创建弹性云服务器操作失败的问题。 前提条件 已开通云审计服务且追踪器状态
最新版本SDK在各语言对应界面下载,请参见CTS SDK。 您可以在SDK列表中查看CTS支持的SDK,在GitHub仓库查看SDK更新历史、获取安装包以及查看指导文档。 父主题: CTS安全最佳实践
事件样例 以下提供云审计服务所收集事件的两个页面样例,并对其中常用的观察点进行了描述,以方便用户更直观的理解事件信息。其他服务所产生的事件可参照以下样例理解。 详细的字段解释可参考事件结构章节。 创建云服务器实例 云硬盘实例 创建云服务器实例 { "trace_id":
创建实现日志提取功能的函数,将示例代码包上传,如图1所示。创建过程请参考创建函数。 图1 创建函数 函数实现的功能是:将收到的日志事件数据进行分析,过滤白名单功能,对非法IP登录/登出,进行SMN消息主题邮件告警。形成良好的账户安全监听服务。 设置环境变量 在函数配置页签需配置环
service_type 是 String 标识云服务类型。必须为已对接CTS的云服务的英文缩写,且服务类型一般为大写字母。 已对接的云服务列表参见《云审计服务用户指南》“支持审计的服务及详细操作列表”章节,单击对应云服务的文档链接,可以查看到该云服务的英文缩写。 resource_type
安全风险,可以通过CTS记录的事件进行查看。 前提条件 已开启云审计服务。 操作方法 进入云审计服务控制台。 选择时间范围,然后在搜索框中依次查询: “云服务:IAM” > “事件名称:login”。 在过滤结果中,单击事件名称,可以查看到具体的事件内容。其中"source_ip
创建关键操作通知 云审计服务在记录某些特定关键操作时,支持通过消息通知服务(SMN)对这些关键操作实时向相关订阅者发送通知(向用户手机、邮箱发送消息,也可直接发送http/https消息),该功能由云审计服务触发,消息通知服务完成通知发送。由于云审计服务的关键操作通知需要使用消息通知服务向相关的
些字段并非云审计服务规定的必备字段: source_ip:当trace type为SystemAction时,表示本次操作由服务内部触发,此时缺失IP字段为正常情况。 request/response/code:这三个字段是表示本次操作所对应的请求内容、请求结果及HTTP返回码,
时候将Token加到请求消息头,从而通过身份认证,获得操作API的权限。 Token可通过调用获取用户Token接口获取,调用本服务API需要project级别的Token,即调用“获取用户Token接口”时,请求body中auth.scope的取值需要选择project,如下所示。
String 云服务委托名称。 表5 Operations 参数 参数类型 描述 service_type String 标识云服务类型。必须为已对接CTS的云服务的英文缩写,且服务类型一般为大写字母。 已对接的云服务列表参见《云审计服务用户指南》“支持审计的服务及详细操作列表”
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
