检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
"tracker_type" : "system", "status" : "enabled" } 状态码 状态码 描述 201 请求成功。 400 服务器未能处理请求。 401 请求鉴权校验失败,访问被拒绝。 403 请求权限校验失败,访问被禁止。 404 请求中的OBS桶不存在,请求未完成。
追踪器的组织功能,即配置组织追踪器。 前提条件 当前登录用户的账号类型是委托管理员账号或组织管理员账号。 组织管理员账号在组织服务中开启了CTS可信服务。 建议规划用来存储审计事件的委托管理员的OBS桶。 配置组织追踪器 登录管理控制台。 在管理控制台左上角单击图标,选择区域和项目。
踪器之后通过对象存储服务(Object Storage Service,以下简称OBS)将操作记录实时保存至OBS桶中。 调用方法 请参见如何调用API。 URI POST /v3/{project_id}/tracker 表1 路径参数 参数 是否必选 参数类型 描述 project_id
源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,CTS管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分。 如表1所示,包括了CTS的所有系统权限。
如果您已有一个华为账户,请跳到下一个任务。如果您还没有华为账户,请参考以下步骤创建。 打开华为云官网,单击“注册”。 根据提示信息完成注册,详细操作请参见如何注册华为云管理控制台的用户?。 注册成功后,系统会自动跳转至您的个人信息界面。 参考实名认证完成个人或企业账号实名认证。 为账户充值。 日
有足够金额。 关于OBS服务的价格,请参见对象存储服务价格详情。 关于充值,请参见如何给华为账户充值。 为用户添加操作权限。 如果您是以主账号登录华为云,请跳到下一个任务。 如果您是以IAM用户登录华为云,需要联系CTS管理员(主账号或admin用户组中的用户)对IAM用户授予CTS
行分析,则必须配置system追踪器转储事件至OBS或LTS,再通过OBS或LTS的数据下载能力将事件以文件形式下载到本地。 本章为您介绍如何在云审计服务(CTS)、对象存储服务(OBS)和云日志服务(LTS)中下载操作审计的事件。 使用对象存储服务(OBS)文件存储功能,这会产
创建关键操作通知:新增agency_name字段。 修改关键操作通知:新增agency_name字段。 查询事件列表:新增 access_key_id、enterprise_project_id、resource_account_id和user等字段。 创建追踪器:新增agency_name字段。
为什么按需和包周期创建虚拟机的时候会有两个deleteMetadata事件? 由于系统在创建虚拟机的时候需要使用metadata存储临时信息,在创建虚拟机完成后会自动删除该信息,因此会触发两个deleteMetadata信息。
功能总览 功能总览 全部 云审计服务 追踪器 事件 事件文件 事件文件完整性校验 云审计服务 云审计服务(Cloud Trace Service,简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。
需要在云审计控制台配置事件转储至OBS或LTS,云审计服务会定期将操作记录同步保存到OBS桶或LTS日志流中进行长期保存。 本章将为您介绍如何将云审计记录的事件持续投递到对象存储服务(OBS)和云日志服务(LTS)。 使用对象存储服务(OBS)文件存储功能,这会产生额外费用,OBS的计费详情请参考产品价格详情。
关于云监控服务的更多介绍,请参见云监控服务产品介绍。 下面以IAM服务用户登录、登出事件为例,选择CES的事件监控,选择用户登录时间。 图1 事件监控 设置告警策略,可以设置一个事件周期,阀值超过设置可视为此用户登录异常产生。 图2 告警策略 父主题: CTS安全最佳实践
开启云审计服务配置OBS桶,将审计事件归档OBS永久存储 由于CTS只支持查询7天的审计事件,为了您事后审计、查询、分析等要求,启用CTS追踪器请配置OBS服务桶(建议您配置独立OBS桶并配置DEW加密存储专门用于归档审计事件)。当云上资源发生变化时,CTS服务将审计事件归档至O
约束与限制 云审计服务中的追踪器数量和关键操作通知有限定的配额,均不支持修改,云审计服务的具体限制如下。 表1 CTS约束与限制 限制项 使用限制 一个华为云账号允许创建的追踪器数目 管理追踪器:1个 数据追踪器:100个 一个华为云账号允许配置的关键操作通知数目 100个 一个追踪器允许配置的OBS桶数目
、资源类型、动作,云审计服务将实时根据您配置邮件或短信的规则通过消息通知服务(SMN)发送通知。以ECS服务为例,在云审计界面选择事件通知,选择ECS服务,选择ECS的资源类型ecs,选择对应的action,然后订阅SMN通知即可。具体操作和邮件通知范例如下图: 图1 关键操作通知
关键操作通知服务支持哪些服务? 云审计服务支持对全部的关键操作发送通知,支持的服务类型包括ECS、EVS、VPC、DEW、IAM和原生OpenStack等,支持的操作类型上包括创建、删除、修改、登录和对原生OpenStack接口等操作。
st>服务类型目录 例如:User Define>CloudTraces>region>2016>5>19>system>Digest>ECS 摘要文件命名格式 摘要文件的命名格式如下: 操作事件文件前缀_CloudTrace-Digest_区域标示/区域标示-项目标示_摘要文件
错误码 当您调用API时,如果遇到“APIGW”开头的错误码,请参见API网关错误码进行处理。 更多服务错误码请参见API错误中心。 状态码 错误码 错误信息 描述 处理措施 400 CTS.0001 The IAM or OBS service is abnormal. IAM或OBS服务异常
权限和授权项 如果您需要对您所拥有的CTS进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),如果账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用CTS的其它功能。 默认情况
操作视频 操作场景 关键操作通知主要应用于以下场景: 高危操作(重启虚拟机、变更安全配置等)、成本敏感操作(创建、删除高价资源等)、业务敏感操作(网络配置变更等)的实时感知和确认。 越权操作感知:如高权限用户的登录、某用户进行了其权限范围之外的操作的实时感知和确认。 对接用户自有审
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
