正在生成
详细信息:
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
状态码 描述 200 请求正常。 400 服务器未能处理请求。 401 请求鉴权校验失败,访问被拒绝。 403 请求权限校验失败,访问被禁止。 404 服务器无法找到被请求的资源。 500 服务内部异常,请求未完成。 503 被请求的服务无效。建议直接修改该请求,不要重试该请求。
创建函数 函数实现的功能是:将收到的日志事件数据进行分析,过滤白名单功能,对非法IP登录/登出,进行SMN消息主题邮件告警。形成良好的账户安全监听服务。 设置环境变量 在函数配置页签需配置环境变量,设置SMN主题名称,说明如表1所示。 表1 环境变量说明 环境变量 说明 SMN_Topic
摘要文件命名格式 操作事件文件前缀_CloudTrace-Digest_区域标示/区域标示-项目标示_摘要文件提交至OBS的时间标示:年-月-日T时-分-秒Z.json.gz 例如:File Prefix_CloudTrace-Digest_region/region-proje
准备 开通CTS云审计服务 在云审计服务中开通配置追踪器,配置追踪器完成后,系统立即以新的规则开始记录操作。 登录管理控制台。 在管理控制台左上角单击图标,选择区域和项目。 单击左上角,选择“管理与监管 > 云审计服务 CTS”,进入云审计服务详情页面。 单击左侧导航树的“追踪器”,进入追踪器信息页面。
TraceResource 参数 参数类型 描述 service_type String 云服务类型。必须为已对接CTS的云服务的英文缩写,且服务类型一般为大写字母。 resource Array of strings 云服务对应的资源类型列表。 状态码: 400 表4 响应Body参数 参数 参数类型
处理结果 若用户触发账号的登录/登出操作,订阅服务类型日志被触发,日志会直接调用用户函数,通过函数代码对当前登录/出的账号进行IP过滤,若不在白名单内,可收到SMN发送的通知消息邮件,如图1所示。 图1 告警消息邮件通知 邮件信息中包含非法请求ip地址和用户执行的动作(login/logout)。
据属性中。 OBS桶名>CloudTraces>地区标示>时间标示:年>时间标示:月>时间标示:日>trackername>Digest>服务类型目录 例如:User Define>CloudTraces>region>2016>5>19>system>Digest>ECS 父主题:
为什么事件列表中的某些操作被记录了两次? 对于异步调用事件,会产生两条事件记录,其事件名称、资源类型、资源名称等字段相同。在事件列表中,看起来是重复记录了操作(例如,Workspace的deleteDesktop事件),但实际上,这两条事件是相互关联、但内容不同的两条记录,典型的异步调用场景时间如下:
为什么按需和包周期创建虚拟机的时候会有两个deleteMetadata事件? 由于系统在创建虚拟机的时候需要使用metadata存储临时信息,在创建虚拟机完成后会自动删除该信息,因此会触发两个deleteMetadata信息。
在管理控制台左上角单击图标,选择区域和项目。 单击左上角,选择“管理与监管 > 云审计服务 CTS”,进入云审计服务页面。 单击左侧导航树的“追踪器”,进入追踪器信息页面。 若未开通云审计服务,单击“开通云审计服务”, 开通云审计服务步骤请参见入门指引。 单击管理类追踪器system右侧的“配置”按
状态码 描述 200 请求成功。 400 服务器未能处理请求。 401 请求鉴权校验失败,访问被拒绝。 403 请求权限校验失败,访问被禁止。 404 请求资源不存在,请求未完成。 500 服务内部异常,请求未完成。 503 被请求的服务无效。建议直接修改该请求,不要重试该请求。
摘要文件注意事项 启动摘要文件 启动事件文件完整性校验时,将生成一个启动摘要文件。在启动摘要文件中,与前一摘要文件相关的以下字段将为空: previous_digest_bucket previous_digest_object previous_digest_hash_value
状态码 描述 200 请求成功。 400 服务器未能处理请求。 401 请求鉴权校验失败,访问被拒绝。 403 请求权限校验失败,访问被禁止。 404 请求资源不存在,请求未完成。 500 服务内部异常,请求未完成。 503 被请求的服务无效。建议直接修改该请求,不要重试该请求。
使用IAM用户(子帐号)在CTS配置转储,操作OBS桶也必须是IAM用户么? 不是,操作OBS桶的用户不区分IAM用户和帐号,只需要用户具备操作OBS桶的权限即可。
建议对不同角色的IAM用户仅设置最小权限,避免权限过大导致数据泄露 为了更好的进行权限隔离和管理,建议您配置独立的IAM管理员,授予IAM管理员IAM策略的管理权限。IAM管理员可以根据您业务的实际诉求创建不同的用户组,用户组对应不同的数据访问场景,通过将用户添加到用户组并将IA
为什么有些trace_type为systemAction的事件,存在user和source_ip为空的情况? trace_type字段的业务意义为标示请求来源,该字段可以是控制台(ConsoleAction)、API网关(ApiCall)及系统内调用(SystemAction)。
使用最新版本的SDK获得更好的操作体验和更强的安全能力 建议客户升级SDK并使用最新版本,从客户侧对您的数据和CTS使用过程提供更好的保护。最新版本SDK在各语言对应界面下载,请参见CTS SDK。 父主题: CTS安全最佳实践