检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
查询追踪器 功能介绍 开通云审计服务成功后,您可以在追踪器信息页面查看追踪器的详细信息。详细信息主要包括追踪器名称,用于存储操作事件的OBS桶名称和OBS桶中的事件文件前缀。 调用方法 请参见如何调用API。 URI GET /v3/{project_id}/trackers 表1
支持审计的服务及操作列表 表1 支持审计的服务及操作列表 分类 云服务 service_type 审计操作参考文档 计算 弹性云服务器 ECS 弹性云服务器支持审计的操作列表 镜像服务 IMS 镜像服务支持审计的操作列表 裸金属服务器 BMS 裸金属服务器支持审计的操作列表 弹性伸缩
用户可以对事件文件执行以下两种操作: 事件文件的创建和保存: 当用户在弹性云服务器、云硬盘服务、镜像服务等其它与云审计服务完成对接的服务中,进行了增加、删除、修改类型的操作时,被操作的服务会自动记录操作动作及操作结果,并按照指定的格式发送事件到云审计服务完成事件归档。 云审计服务管理控制台会保存最近7天的操作记录,
“事件名称:disableKey”。 在事件列表查看事件的查询结果。 场景二:查询指定DEW密钥的使用情况 在云审计控制台,单击左侧导航栏的“事件列表”。 单击页面上方的“最近1小时”,设置查询的时间范围。 在搜索框中输入需要查询的指定DEW密钥的密钥ID:“资源ID:{resource_id}”。
查询云服务的全量操作列表 功能介绍 查询云服务的全量操作列表。 调用方法 请参见如何调用API。 URI GET /v3/{project_id}/operations 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID,参见获取账号ID和项目ID章节。
使用最新版本的SDK获得更好的操作体验和更强的安全能力 建议客户升级SDK并使用最新版本,从客户侧对您的数据和CTS使用过程提供更好的保护。 最新版本SDK在各语言对应界面下载,请参见CTS SDK。 您可以在SDK列表中查看CTS支持的SDK,在GitHub仓库查看SDK更新历史、获取安装包以及查看指导文档。
在新版事件列表查看审计事件 在旧版事件列表查看审计事件 操作视频 使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看,或者到组织追踪器配置的OBS桶中查看,也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只
查询事件的资源类型列表 功能介绍 查询事件的资源类型列表。 调用方法 请参见如何调用API。 URI GET /v3/{domain_id}/resources 表1 路径参数 参数 是否必选 参数类型 描述 domain_id 是 String 账户id,参见获取账号ID和项目ID章节。
作事件将转储到日志流中。 图2 开启转储到LTS功能 单击“下一步 > 配置”,完成配置system追踪器。追踪器配置成功后,您可以在追踪器页面查看配置的追踪器的详细信息。 步骤二:在LTS中查询事件 在云审计控制台的追踪器页面,单击system追踪器右侧的LTS日志流名称,进入
查询审计日志的操作用户列表 功能介绍 查询审计日志的操作用户列表。 调用方法 请参见如何调用API。 URI GET /v3/{project_id}/user-resources 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID,参见获取账号ID和项目ID章节。
为什么查看事件窗口中的有些事件的字段为空? 可以为空的字段有source_ip、code、request、response和message,这些字段并非云审计服务规定的必备字段: source_ip:当trace type为SystemAction时,表示本次操作由服务内部触发,此时缺失IP字段为正常情况。
使用云审计服务监控华为云账号的使用 华为云账号是您的华为云资源归属、资源使用计费的主体。华为云账号泄露会威胁您所有资源的安全。您可以使用云审计服务监控华为云账号的使用,设置告警保障您的华为云账号下资源的安全。 本章为您介绍如何通过云审计服务的操作审计功能和转储审计日志到LTS功能
储时设置的OBS桶“system-bucket-01”,云审计记录的事件将持续转储到该OBS桶。在OBS桶中查看事件记录的详细操作请参考在OBS桶中查看历史事件记录。 图2 OBS桶名称 场景二:将云审计记录的事件转储到LTS 进入云审计服务页面。 在“区域”下拉列表中,选择靠近
在新版事件列表查看审计事件 在旧版事件列表查看审计事件 使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看,或者到组织追踪器配置的OBS桶中查看,也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只
如果账号被冻结、解除冻结、受限或解除受限,导致访问CTS前台提示系统繁忙,如何处理? 请退出当前账号并重新登录CTS页面。
云审计服务管理控制台支持停用/启用已创建的追踪器。追踪器停用成功后,系统将不再记录新的操作,但是您依旧可以查看已有的操作记录。 本节介绍如何停用/启用追踪器。 使用限制 停用追踪器后,操作事件仍可以正常上报到云审计服务。您可以在事件列表查看已有的7天内的操作记录,但是您无法查看新的操作记录、转储事件至OBS/LTS和接收关键事件通知。
处理结果 若用户触发账号的登录/登出操作,订阅服务类型日志被触发,日志会直接调用用户函数,通过函数代码对当前登录/出的账号进行IP过滤,若不在白名单内,可收到SMN发送的通知消息邮件,如图1所示。 图1 告警消息邮件通知 邮件信息中包含非法请求ip地址和用户执行的动作(login/logout)。
下载云审计服务记录的操作事件 云审计服务默认为每个华为云账号记录最近7天的操作事件,最近7天的操作事件仅支持通过云审计控制台查询,您可以在云审计控制台导出本次查询结果的所有事件。在您没有配置转储前,云审计控制台对用户的操作事件日志保留7天,过期自动删除,在配置转储后也无法查看。 如果您因
为什么在事件列表中按照操作用户进行筛选时,存在user_name和op_service用户? 当用户发起的某些请求涉及后台一些高权限要求的操作或涉及调用其他服务时,可能存在用户自身的权限不足的问题。因此在确保符合安全要求的前提下,会临时对该请求中的用户身份进行提权,请求完成后提权
String 若该版本API 支持微版本,则填支持的最小微版本号, 如果不支持微版本,则填空。 表4 LinksBody 参数 参数类型 描述 href String 当前API版本的引用地址。 rel String 当前API版本和被引用地址的关系。 请求示例 无 响应示例 状态码: 200
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
