检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
删除成功。 400 服务器未能处理请求。 401 请求鉴权校验失败,访问被拒绝。 403 请求权限校验失败,访问被禁止。 404 服务器无法找到被请求的资源或部分关键操作通知删除失败。 500 服务内部异常,请求未完成;或部分追踪器删除失败。 503 被请求的服务无效。建议直接修改该请求,不要重试该请求。
在云审计事件列表的“操作用户”一栏,可以查看对应事件的操作用户(user.name)信息。 本章节将介绍说明不同的操作用户身份在操作资源时,对应的事件列表中“操作用户”信息的示例,以方便用户更直观的理解操作用户信息。 IAM用户身份 操作用户为“IAM用户”时,审计日志中的user字段示例如下:
String 标识事件对应的云服务接口版本。 message 否 Structure 标识其他云服务为此条事件添加的备注信息。 record_time 是 Number 标识云审计服务记录本次事件的时间戳。 trace_id 是 String 标识事件的ID,由系统生成的UUID。 code
单击左侧导航树的“追踪器”,进入追踪器信息页面。 在管理类追踪器信息右侧,单击操作下的“停用”。 图1 停用追踪器 单击“确定”,停用追踪器。追踪器停用成功后,操作下的“停用”切换为“启用。 如果您需要重新启用管理类追踪器,单击“启用 > 确定”,则系统重新开始记录新的操作。 父主题:
配置”,完成配置管理类事件追踪器。 追踪器配置成功后,您可以在追踪器信息页面查看配置的追踪器的详细信息。 因为CTS所存储的事件是周期性转储到OBS桶的,因此当您配置了追踪器所对应的OBS桶后,当前转储周期内(通常为数分钟)已收到事件会转储到配置后的OBS桶中。例如当前转储周期为12:00~12:0
单击左侧导航树的“追踪器”,进入追踪器信息页面。 在数据类追踪器信息右侧,单击操作下的“停用”。 图1 停用追踪器 单击“确定”,停用追踪器。追踪器停用成功后,操作下的“停用”切换为“启用”。 如果您需要重新启用追踪器,单击“启用 > 确定”,则系统重新开始记录新的操作。 父主题:
单击左侧导航树的“追踪器”,进入追踪器信息页面。 在数据类追踪器信息右侧,单击操作下的“配置”。 图1 追踪器配置 配置数据类追踪器时,数据事件来源的“OBS桶名称”默认为当前OBS桶名称,不可以修改。在配置转储页面可以修改该追踪器的转储信息。用户通过云审计控制台只能查询最近7天的操作记
当“选择OBS”选择“选择已有OBS桶”时,可以选择已存在的OBS桶。 保存周期 转储至OBS桶中日志的保存周期。该配置会修改被选择桶的桶策略,影响范围为桶内的所有文件。不同类型、不同级别的合规认证标准对审计日志的保存时间有不同的要求,建议设置保存周期不低于180天。 数据类事件追踪
云审计服务管理控制台支持删除已创建的数据类事件追踪器,删除数据类事件追踪器对已有的操作记录没有影响。本章节介绍如何在管理控制台删除数据事件追踪器。 使用限制 删除追踪器后,操作事件仍可以正常上报到云审计服务。您可以在事件列表查看已有的7天内的操作记录,但是您无法查看新的操作记录、转储事件至OBS/LTS和接收关键操作通知。
在管理控制台左上角单击图标,选择区域和项目。 单击左上角,选择“管理与监管 > 云审计服务 CTS”,进入云审计服务详情页面。 单击左侧导航树的“追踪器”,进入追踪器信息页面。 单击管理类追踪器对应操作列的“删除”。 图1 删除追踪器 在弹框中单击“确定”,完成删除管理类追踪器。 父主题: 管理类事件追踪器
关键操作通知 操作场景 关键操作通知主要应用于以下场景: 高危操作(重启虚拟机、变更安全配置等)、成本敏感操作(创建、删除高价资源等)、业务敏感操作(网络配置变更等)的实时感知和确认。 越权操作感知:如高权限用户的登录、某用户进行了其权限范围之外的操作的实时感知和确认。 对接用户自有审计
组织云服务(Organizations)为企业用户提供多账号关系的管理能力。Organizations支持用户将多个华为云账号整合到创建的组织中,并可以集中管理组织下的所有账号。用户可以在组织中设置访问策略,帮助用户更好地满足业务的安全性和合规性需求。 云审计服务支持组织云服务的多账号关系的管理能力: 使用组织管理员
resource_name 事件对应的的资源名称。 配置用户。 当指定的用户发起关键操作时,可以通过SMN通知相关的订阅者。 当选择“不指定”用户时,所有用户发起的关键操作,将通过SMN通知相关的订阅者。 当选择“指定”用户时,需要手动指定用户,当这些用户发起关键操作时,将通过SMN通知相关的订阅者。目前
为system的管理类事件追踪器。管理类事件追踪器会自动识别并关联当前租户所使用的所有云服务,并将当前租户的所有操作记录在该追踪器中。 使用限制 CTS仅记录最近7天内的操作事件,您需要配置追踪器转储至OBS或LTS服务来保存更长时间的事件,否则将无法追溯7天前的操作事件。配置转
修改追踪器章节,增加“bucket_name”命名规则,URI的参数说明中增加关于“tracker_name”的说明。 查询追踪器和删除追踪器章节中,URI的参数说明中增加关于“tracker_name”的说明。删除请求参数中关于“tracker name”的说明。 错误码中,修改cts.0023错误码说明。
踪器配置的转储事件文件将永久保存,数据类追踪器配置的转储事件按照转储的时间保存。 事件文件加密存储:在开通事件转储的基础上,需要使用数据加密服务(DEW)对存储在OBS桶中的事件文件进行加密。 日志转储:CTS提供将审计日志转储至LTS的功能,但依赖云日志服务(LTS)的日志存储功能收费。
在CTS控制台无法创建追踪器 问题描述 在CTS控制台创建追踪器,系统报错。 操作步骤 键入F12查看报错信息。如果是请求没有发送,查看是否浏览器安装了拦截插件,关闭插件后可以正常创建。 如果用户有权限仍无法创建追踪器,在中心region(北京四)查看是否开通CTS,如未开通则需
CTS如何长期保存事件文件——转储至OBS桶 云审计服务仅保存近7天的事件,可以对追踪器增加OBS转储的相关配置,将事件同步、长期保存至OBS桶。具体操作请参考配置追踪器。
以根据自身的业务需求使用云审计服务提供的一系列常用实践。 表1 常用最佳实践 实践 描述 结合函数工作流对登录/登出进行审计分析 该实践介绍如何通过CTS云审计服务,完成对公有云账户的各个云服务资源操作和结果的实时记录。 通过在函数工作流服务中创建CTS触发器获取订阅的资源操作信
约束与限制 云审计服务中的追踪器数量和关键操作通知有限定的配额,均不支持修改,云审计服务的具体限制如下。 表1 CTS约束与限制 限制项 使用限制 一个华为云账号允许创建的追踪器数目 管理追踪器:1个 数据追踪器:100个 一个华为云账号允许配置的关键操作通知数目 100个 一个追踪器允许配置的OBS桶数目
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
