检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
其中"source_ip"为登录IP,"record_time"为登录时间。
为什么有些trace_type为systemAction的事件,存在user和source_ip为空的情况?
可以为空的字段有source_ip、code、request、response和message,这些字段并非云审计服务规定的必备字段: source_ip:当trace type为SystemAction时,表示本次操作由服务内部触发,此时缺失IP字段为正常情况。
处理结果 若用户触发账号的登录/登出操作,订阅服务类型日志被触发,日志会直接调用用户函数,通过函数代码对当前登录/出的账号进行IP过滤,若不在白名单内,可收到SMN发送的通知消息邮件,如图1所示。
IP 白名单。 环境变量的设置过程请参考使用环境变量,如图2所示。 图2 设置环境变量 父主题: 结合函数工作流对登录/登出进行审计分析
user_agent 否 String 请求客户端代理标识。 content_length 否 Number 请求消息体的长度。 total_time 否 Number 请求的响应时间。
审计日志中包含时间、操作人、操作设备ip、被操作资源、操作详情等各类信息,具有挖掘价值。 客户可通过配置http/https通知的模式,将审计日志即时同步到自有系统进行分析。
图1 处理流程 案例价值点 通过CTS云审计服务,快速完成日志分析,对指定IP进行过滤。 基于serverless无服务架构的函数计算提供数据加工、分析,事件触发,弹性伸缩,无需运维,按需付费。 结合SMN消息通知服务提供日志、告警功能。
principal_id 操作用户的身份ID。格式为 <idp_id>:<user-session-name>。本示例中为"provider_name:UserA"。 principal_urn 操作用户身份的URN。
\":false,\"driver_mode\":null,\"allowed_address_pairs\":null,\"efi_enable\":false,\"efi_protocol\":null}],\"publicip\":{\"id\":null,\"eip\":{
Principal 桶策略被授权租户A,domainId可以通过控制台在“我的凭证”页面获取。
"code" : "VPC.0514", "message" : "Update port fail." }, "code" : 200, "service_type" : "VPC", "resource_type" : "eip
source_ip String 标识触发事件的租户IP。 resource_name String 标识事件对应的资源名称。
", "name": "IAMUser", "description": "IAM User Description", "areacode": "", "phone": "", "email
source_ip String 标识触发事件的租户IP。 resource_name String 标识事件对应的资源名称。
source_ip String 标识触发事件的租户IP。 resource_name String 标识事件对应的资源名称。
": "IAM User Description" } } 到这里为止这个请求需要的内容就具备齐全了,您可以使用curl、Postman或直接编写代码等方式发送请求调用API。
包括不压缩(json),压缩(gzip)两种状态。默认为gzip格式。 枚举值: gzip json is_sort_by_service 否 Boolean 路径按云服务划分,打开后转储文件路径中将增加云服务名。默认为true。
包括不压缩(json),压缩(gzip)两种状态。默认为gzip格式。 枚举值: gzip json is_sort_by_service Boolean 路径按云服务划分,打开后转储文件路径中将增加云服务名。默认为true。
包括不压缩(json),压缩(gzip)两种状态。默认为gzip格式。 枚举值: gzip json is_sort_by_service 否 Boolean 路径按云服务划分,打开后转储文件路径中将增加云服务名。默认为true。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
