检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
本案例提供了实现告警日志功能的程序包,用户可以下载(index.zip)、学习使用。 创建功能函数 创建实现日志提取功能的函数,将示例代码包上传,如图1所示。创建过程请参考创建函数。 图1 创建函数 函数实现的功能是:将收到的日志事件数据进行分析,过滤白名单功能,对非法IP登录/
案例概述 场景介绍 通过CTS云审计服务,完成对公有云账户对各个云服务资源操作和结果的实时记录。 通过在函数工作流服务中创建CTS触发器获取订阅的资源操作信息,经由自定义函数对资源操作的信息进行分析和处理,产生告警日志。 SMN消息通知服务通过短信和邮件推送告警信息,通知业务人员进行处理。处理流程如图1所示。
TTPS等形式推送告警消息。 本案例中推送告警消息的事件是:当日志事件通过CTS触发器触发函数执行时,函数中过滤白名单告警日志,产生的告警消息推送至SMN主题的订阅终端。 父主题: 结合函数工作流对登录/登出进行审计分析
日志会直接调用用户函数,通过函数代码对当前登录/出的账号进行IP过滤,若不在白名单内,可收到SMN发送的通知消息邮件,如图1所示。 图1 告警消息邮件通知 邮件信息中包含非法请求ip地址和用户执行的动作(login/logout)。 可以通过函数指标查看函数的调用情况,如图2所示。
结合函数工作流对登录/登出进行审计分析 案例概述 准备 构建程序 添加事件源 处理结果
具体操作请参见使用CTS触发器。 图1 创建CTS触发器 CTS云审计服务监听IAM服务中user资源类型,监听login、logout操作。 父主题: 结合函数工作流对登录/登出进行审计分析
表1 常用最佳实践 实践 描述 结合函数工作流对登录/登出进行审计分析 该实践介绍如何通过CTS云审计服务,完成对公有云账户的各个云服务资源操作和结果的实时记录。 通过在函数工作流服务中创建CTS触发器获取订阅的资源操作信息,经由自定义函数对资源操作的信息进行分析和处理,产生告
访问密钥ID:输入访问密钥ID(包含临时访问凭证和永久访问密钥)。 时间范围:可选择查询最近1小时、最近1天、最近1周的操作事件,也可以自定义最近7天内任意时间段的操作事件。 您可以参考云审计服务应用示例,来学习如何查询具体的事件。 在事件列表页面,您还可以导出操作记录文件、刷新列表、设置列表展示信息等。 在搜索
CTS最佳实践一览表 最佳实践 说明 结合函数工作流对登录/登出进行审计分析 本章节介绍如何通过CTS云审计服务,完成对公有云账户的各个云服务资源操作和结果的实时记录。 通过在函数工作流服务中创建CTS触发器获取订阅的资源操作信息,经由自定义函数对资源操作的信息进行分析和处理,产生告
事件文件完整性校验 操作场景 由于云审计采用了行业标准、可公开使用的签名算法和哈希函数,因此,您可以自行创建用于校验云审计事件文件完整性的工具。原则上进行完整性校验时必须包含字段time、service_type、resource_type、trace_name、trace_ra
访问密钥ID:输入访问密钥ID(包含临时访问凭证和永久访问密钥)。 时间范围:可选择查询最近1小时、最近1天、最近1周的操作事件,也可以自定义最近7天内任意时间段的操作事件。 您可以参考云审计服务应用示例,来学习如何查询具体的事件。 在事件列表页面,您还可以导出操作记录文件、刷新列表、设置列表展示信息等。 在搜索
operation_type String 标识操作类型。 目前支持的操作类型有完整类型(complete)和自定义类型(customized)。 完整类型下,CTS发送通知的对象为已对接服务的所有事件。 自定义类型下,CTS发送通知的对象是在operations列表中指定的事件。 枚举值: customized
gionId:f96188c7ccaf4ffba0c9aa149ab2bd57:test_topic_v2。- 函数工作流的func_urn可以通过函数工作流的获取函数列表API获取,示例:urn:fss:xxxxxxxxx:7aad83af3e8d42e99ac194e8419
标识操作类型。 目前支持的操作类型有完整类型(complete)和自定义类型(customized)。 完整类型下,CTS发送通知的对象为已对接服务的所有事件,此时不用指定operations和notify_user_list字段。 自定义类型下,CTS发送通知的对象是在operations列表中指定的事件。
支持的授权项 策略包含系统策略和自定义策略,如果系统策略不满足授权要求,企业管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应,授权项列表说明如下: 权限:自定义策略中授权项定义的内容即为权限。 对应API接口:自定义策略实际调用的API接口。
cts:tag:delete 批量删除资源标签 - 批量删除资源标签 自定义权限策略 如果系统预置的权限策略,不满足用户授权需求,CTS支持自定义权限策略。 自定义权限策略中可以添加的授权项请参考权限及授权项说明。 自定义权限策略具体创建步骤请参见创建自定义策略。 相关链接 IAM产品介绍 IAM基础概念
操作类型:根据具体使用场景,选择“完整”和“自定义操作”触发场景。 完整:更适合对接用户自有审计系统,支持对所有已对接云审计服务的所有操作发送SMN通知。该模式下用户不可配置,默认发送对象为支持服务的所有事件。此场景下建议用户使用订阅协议为https的SMN主题。 自定义:适合对高危操作、成本敏感
如何给云硬盘的操作添加告警通知。 操作步骤 登录云审计控制台。 左侧导航栏选择“关键操作通知”,单击“创建关键操作通知”。 在“配置操作”模块选择“自定义操作”,依次勾选“EVS > evs”的四个关键操作名称,即可对云硬盘的操作添加告警通知。
填写通知的名称,用于标识和区分关键操作通知。 对创建IAM用户操作告警 操作类型 根据具体使用场景,选择“完整”和“自定义操作”触发场景。 自定义 操作列表 当操作类型选择“自定义”时,可以自定义选择触发通知的操作范围。 服务类型选择:IAM 资源类型选择:user 操作名称选择:createUser
操作类型:根据具体使用场景,选择“完整”和“自定义操作”触发场景。 完整:更适合对接用户自有审计系统,支持对所有已对接云审计服务的所有操作发送SMN通知。该模式下用户不可配置,默认发送对象为支持服务的所有事件。此场景下建议用户使用订阅协议为https的SMN主题。 自定义:适合对高危操作、成本敏感