检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
如何调用API 构造请求 认证鉴权 返回结果
结合函数工作流对登录/登出进行审计分析 案例概述 准备 构建程序 添加事件源 处理结果
index.zip)学习使用。 创建功能函数 创建实现日志提取功能的函数,将示例代码包上传。创建过程请参考创建函数,运行时语言选择“Python2.7”,委托名称选择创建委托中的“serverless_trust”。 函数实现的功能是:将收到的日志事件数据进行分析,过滤白名单功能
如何查询IAM用户登录的IP地址 问题描述 如果您想查询IAM用户的登录IP地址和登录时间,以确认当前账号是否存在安全风险,可以通过CTS记录的事件进行查看。 前提条件 已开启云审计服务。 操作方法 进入云审计服务控制台。 选择时间范围,然后在搜索框中依次查询: “云服务:IAM”
如何给云硬盘添加告警通知? 问题描述 如何给云硬盘的操作添加告警通知。 操作步骤 登录云审计控制台。 左侧导航栏选择“关键操作通知”,单击“创建关键操作通知”。 在“配置操作”模块选择“自定义操作”,依次勾选“EVS > evs”的四个关键操作名称,即可对云硬盘的操作添加告警通知。
作信息,经由自定义函数对资源操作的信息进行分析和处理,产生告警日志。 SMN消息通知服务通过短信和邮件推送告警信息,通知业务人员进行处理。处理流程如图1所示。 图1 处理流程 案例价值点 通过CTS云审计服务,快速完成日志分析,对指定IP进行过滤。 基于serverless无服务
构造请求 本节介绍REST API请求的组成,并以调用IAM服务的管理员创建IAM用户接口说明如何调用API。 您还可以通过这个视频教程了解如何构造请求调用API:https://bbs.huaweicloud.com/videos/102987。 请求URI 请求URI由如下部分组成。
处理结果 若用户触发账号的登录/登出操作,订阅服务类型日志被触发,日志会直接调用用户函数,通过函数代码对当前登录/出的账号进行IP过滤,若不在白名单内,可收到SMN发送的通知消息邮件,如图1所示。 图1 告警消息邮件通知 邮件信息中包含非法请求ip地址和用户执行的动作(login/logout)。
如何通过云审计服务确认ECS的创建用户 问题描述 如果您需要确定一台ECS的创建用户,可以通过CTS记录的事件进行查看。 前提条件 已开启云审计服务 已开启获取创建的ECS主机的资源ID 操作方法 登录云审计控制台。 单击左侧导航树的“事件列表”,进入事件列表界面。 时间范围选择
创建CTS触发器 CTS云审计服务监听IAM服务中user资源类型,监听login、logout操作。 父主题: 结合函数工作流对登录/登出进行审计分析
使用云监控服务对重点审计事件进行实时监控告警 云审计会将华为云ECS、VPC、EVS等云服务重点审计事件如: deleteServer、deleteVpc、deleteVolume等发送CES事件监控中,您可使用该服务监控自己的云上资源操作频率,执行自动实时监控、告警和通知操作,
为什么在事件列表中按照操作用户进行筛选时,存在user_name和op_service用户? 当用户发起的某些请求涉及后台一些高权限要求的操作或涉及调用其他服务时,可能存在用户自身的权限不足的问题。因此在确保符合安全要求的前提下,会临时对该请求中的用户身份进行提权,请求完成后提权结束。
Key):与访问密钥ID结合使用的密钥,对请求进行加密签名,可标识发送方,并防止请求被修改。 使用AK/SK认证时,您可以基于签名算法使用AK/SK对请求进行签名,也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 签名SDK只提供签名
CTS如何长期保存事件文件——转储至OBS桶 云审计服务仅保存近7天的事件,可以对追踪器增加OBS转储的相关配置,将事件同步、长期保存至OBS桶。具体操作请参考配置追踪器。
准备 首次开通云审计服务 登录管理控制台。 如果您是以主账号登录华为云,请直接进行3;如果您是以IAM用户登录华为云,需要联系CTS管理员(主账号或admin用户组中的用户)对IAM用户授予CTS FullAccess权限。 授权方法请参见给IAM用户授权。 单击左上角,选择“管理与监管
"error_code": "IAM.0011" } 其中,error_code表示错误码,error_msg表示错误描述信息。 父主题: 如何调用API
序使用。 云审计服务支持对IAM的关键操作进行收集、存储和查询,用于用户后续进行安全分析、合规审计、资源跟踪和问题定位等。 本章为您介绍如何通过云审计服务的操作审计和关键操作通知功能,对“创建IAM用户”操作进行监控并通过邮件通知方式进行告警。 使用限制 统一身份认证(IAM)属
如何配置CTS审计日志存储180天? 问题描述 搜索回溯一些问题,需要审计日志存储180天,如何配置审计日志存储时间? 操作步骤 开通云审计日志后,系统会自动创建一个名为system的管理事件追踪器,并将当前租户的所有操作记录在该追踪器中。在追踪器中配置CTS转储到LTS,配置完
如何删除cts_admin_trust委托中Tenant Administrator的权限? 问题描述 版本升级后,cts_admin_trust委托权限由Tenant Administrator收缩为OBS Administrator、KMS Administrator和SMN
时间范围:可选择查询最近1小时、最近1天、最近1周的操作事件,也可以自定义最近7天内任意时间段的操作事件。 您可以参考云审计服务应用示例,来学习如何查询具体的事件。 在事件列表页面,您还可以导出操作记录文件、刷新列表、设置列表展示信息等。 在搜索框中输入任意关键字,按下Enter键,可以在事件列表搜索符合条件的数据。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
