检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
结合函数工作流对登录/登出进行审计分析 案例概述 准备 构建程序 添加事件源 处理结果
e”。 登录管理控制台 单击左上角,选择“管理与监管 > 云审计服务 CTS”,进入云审计服务控制台页面。 单击左侧导航树的“追踪器”,进入追踪器信息页面。 单击“存储服务”下的指定的LTS日志流名称,页面跳转到LTS管理控制台上对应LTS日志流界面。 在CTS日志流界面,选择“{Tracker
处理结果 若用户触发账号的登录/登出操作,订阅服务类型日志被触发,日志会直接调用用户函数,通过函数代码对当前登录/出的账号进行IP过滤,若不在白名单内,可收到SMN发送的通知消息邮件,如图1所示。 图1 告警消息邮件通知 邮件信息中包含非法请求ip地址和用户执行的动作(login/logout)。
在云审计服务页面的追踪器界面,用户可以对追踪器进行启用、停用、删除、配置等操作。 以用户创建镜像为例,在用户使用镜像服务执行创建镜像的操作过程中,镜像服务会将用户操作事件上报至云审计服务,如已配置OBS服务,云审计服务将事件转存至OBS桶中。用户也可以通过云审计服务的事件列表
查询审计日志的操作用户列表 功能介绍 查询审计日志的操作用户列表。 调用方法 请参见如何调用API。 URI GET /v3/{project_id}/user-resources 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID,参见获取账号ID和项目ID章节。
以下提供云审计服务所收集事件的两个页面样例,并对其中常用的观察点进行了描述,以方便用户更直观的理解事件信息。其他服务所产生的事件可参照以下样例理解。 详细的字段解释可参考事件结构章节。 创建云服务器实例 云硬盘实例 创建云服务器实例 { "trace_id": "cbdd4480-2e03
} 响应示例 无 状态码 状态码 描述 200 请求正常。 400 服务器未能处理请求。 401 请求鉴权校验失败,访问被拒绝。 403 请求权限校验失败,访问被禁止。 404 服务器无法找到被请求的资源。 500 服务内部异常,请求未完成;或部分追踪器删除失败。 错误码 请参见错误码。
进入CTS控制台重新创建委托,转储至对象存储服务(OBS)功能将会在24小时内恢复。操作方法如下: 登录管理控制台。 单击左上角,选择“管理与监管 > 云审计服务 CTS”,进入云审计服务授权页面。 单击“同意授权并开通”,进入云审计服务页面,界面右上角提示“创建cts-admin_trust委托成功”。
配额调整 什么是配额? 为防止资源滥用,平台限定了各服务资源的配额,对用户的资源数量和容量做了限制。如您最多可以创建多少关键操作通知。 如果当前资源配额限制无法满足使用需要,您可以申请扩大配额。 怎样查看我的配额? 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面右上角,选择“资源
务类型一般为大写字母。已对接的云服务列表参见《云审计服务用户指南》“支持审计的服务及详细操作列表”章节,单击对应云服务的文档链接,可以查看到该云服务的英文缩写。 user 否 String 标识特定用户名称,用以查询该用户下的所有事件。 from 否 Long 标识查询事件列表的
类型一般为大写字母。 已对接的云服务列表参见《云审计服务用户指南》“支持审计的服务及详细操作列表”章节,单击对应云服务的文档链接,可以查看到该云服务的英文缩写。 user 否 String 标识特定用户名称,用以查询该用户下的所有事件。 from 否 Long 标识查询事件列表的
本案例提供了实现告警日志功能的程序包,用户可以下载(index.zip)、学习使用。 创建功能函数 创建实现日志提取功能的函数,将示例代码包上传,如图1所示。创建过程请参考创建函数。 图1 创建函数 函数实现的功能是:将收到的日志事件数据进行分析,过滤白名单功能,对非法IP登录/登出,进行SMN消
"enabled" } 状态码 状态码 描述 200 请求成功。 400 服务器未能处理请求。 401 请求鉴权校验失败,访问被拒绝。 403 请求权限校验失败,访问被禁止。 500 服务内部异常,请求未完成。 错误码 请参见错误码。 父主题: 追踪器管理
e> principal_is_root_user String 是否是根用户。 值为“true”时,表示操作者是根用户。 值为“false”时,表示操作者是委托会话身份、联邦身份或非根用户的 IAM 用户。 枚举值: true false type String 操作者身份类型。
西哥城一、拉美-墨西哥城二、拉美-圣保罗一和拉美-圣地亚哥区域开放。 前提条件 当前登录用户的账号类型是组织管理员账号。 提前规划安全运营管理审计事件的委托管理员账号。 开启云审计可信服务 登录管理控制台。 在管理控制台左上角单击图标,选择区域和项目。 单击左上角,选择“管理与监管
旧可以查看已有的操作记录。 本节介绍如何停用/启用追踪器。 前提条件 已在云审计服务中成功创建数据类追踪器。 停用/启用数据类事件追踪器 登录管理控制台。 在管理控制台左上角单击图标,选择区域和项目。 单击左上角,选择“管理与监管 > 云审计服务 CTS”,进入云审计服务详情页面。
器对已有的操作记录没有影响。本章节介绍如何在管理控制台删除数据事件追踪器。 前提条件 已成功创建数据类事件追踪器。 删除数据类事件追踪器 登录管理控制台。 在管理控制台左上角单击图标,选择区域和项目。 单击左上角,选择“管理与监管 > 云审计服务 CTS”,进入云审计服务详情页面。
事件对应的的资源名称。 配置用户。 当指定的用户发起关键操作时,可以通过SMN通知相关的订阅者。 当选择“不指定”用户时,所有用户发起的关键操作,将通过SMN通知相关的订阅者。 当选择“指定”用户时,需要手动指定用户,当这些用户发起关键操作时,将通过SMN通知相关的订阅者。目前支持对10个用户组的50
"enabled" } 状态码 状态码 描述 201 请求成功。 400 服务器未能处理请求。 401 请求鉴权校验失败,访问被拒绝。 403 请求权限校验失败,访问被禁止。 404 请求中的OBS桶不存在,请求未完成。 500 服务内部异常,请求未完成。 错误码 请参见错误码。 父主题:
的SDK代码示例。 状态码 状态码 描述 200 请求成功。 400 服务器未能处理请求。 401 请求鉴权校验失败,访问被拒绝。 403 请求权限校验失败,访问被禁止。 500 服务内部异常,请求未完成。 503 被请求的服务无效。建议直接修改该请求,不要重试该请求。 错误码 请参见错误码。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
