检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
如果账号被冻结、解除冻结、受限或解除受限,导致访问CTS前台提示系统繁忙,如何处理? 请退出当前账号并重新登录CTS页面。
version Object 描述version相关对象的列表。 表3 Version 参数 参数类型 描述 id String 版本ID(版本号),如v1。 links Array of LinksBody objects API的URL地址。 version String 若该版本API
功能总览 功能总览 全部 云审计服务 追踪器 事件 事件文件 事件文件完整性校验 云审计服务 云审计服务(Cloud Trace Service,简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。
安全审计 操作场景 根据云审计服务收集的日志记录,通过查询具体的、符合某一特征的记录,执行安全分析,判断用户的操作是否符合权限要求。 本章节介绍,通过云审计服务如何审计最近两周内云硬盘服务的创建和删除操作。 前提条件 已开通云审计服务且追踪器状态正常。开通云审计服务请参考章节入门指引。
为什么按需和包周期创建虚拟机的时候会有两个deleteMetadata事件? 由于系统在创建虚拟机的时候需要使用metadata存储临时信息,在创建虚拟机完成后会自动删除该信息,因此会触发两个deleteMetadata信息。
objects 描述versions相关对象的列表。 表2 Versions 参数 参数类型 描述 id String 版本ID(版本号),如v1。 links Array of LinksBody objects API的URL地址。 version String 若该版本API
查询云审计事件 操作场景 用户进入云审计服务创建管理类追踪器后,系统开始记录云服务资源的操作。在创建数据类追踪器后,系统开始记录用户对OBS桶中数据的操作。云审计服务管理控制台会保存最近7天的操作记录。 云审计控制台对用户的操作事件日志保留7天,过期自动删除,不支持人工删除。 本
在CTS事件列表查看云审计事件 操作场景 用户进入云审计服务创建管理类追踪器后,系统开始记录云服务资源的操作。在创建数据类追踪器后,系统开始记录用户对OBS桶中数据的操作。云审计服务管理控制台会保存最近7天的操作记录。 云审计控制台对用户的操作事件日志保留7天,过期自动删除,不支持人工删除。
批量添加CTS资源标签 功能介绍 批量添加CTS资源标签。 调用方法 请参见如何调用API。 URI POST /v3/{project_id}/{resource_type}/{resource_id}/tags/create 表1 路径参数 参数 是否必选 参数类型 描述 project_id
日>追踪器名称 >服务类型目录 例如:User Define>CloudTraces>region>2016>5>19>system>ECS 事件文件命名格式: 操作事件文件前缀_CloudTrace_区域标示/区域标示-项目标示_日志文件上传至OBS的时间标示:年-月-日T时-分-秒Z_系统随机生成字符
批量删除CTS资源标签 功能介绍 批量删除CTS资源标签。 调用方法 请参见如何调用API。 URI DELETE /v3/{project_id}/{resource_type}/{resource_id}/tags/delete 表1 路径参数 参数 是否必选 参数类型 描述
日>追踪器名称 >服务类型目录 例如:User Define>CloudTraces>region>2016>5>19>system>ECS 事件文件命名格式: 操作事件文件前缀_CloudTrace_区域标示/区域标示-项目标示_日志文件上传至OBS的时间标示:年-月-日T时-分-秒Z_系统随机生成字符
OBS桶名称 OBS桶名称不能为空,仅支持小写字母、数字、“-”和“.”,且长度范围为3-63个字符。禁止两个“.”相邻(如“my..bucket”),禁止“.”和“-”相邻(如“my-.bucket”和“my.-bucket”),禁止使用ip为桶名称。 system-bucket-01 保存周期
Explorer的代码示例页签,可生成自动对应的SDK代码示例。 状态码 状态码 描述 200 查询成功。 400 服务器未能处理请求。 401 请求鉴权校验失败,访问被拒绝。 403 请求权限校验失败,访问被禁止。 404 服务器无法找到被请求的资源或部分关键操作通知删除失败。 500 服务内部异常,请求未完成;或部分追踪器删除失败。
添加事件源 选择准备中开通的CTS云审计服务,创建CTS触发器,CTS触发器配置如图1所示。 具体操作请参见使用CTS触发器。 图1 创建CTS触发器 CTS云审计服务监听IAM服务中user资源类型,监听login、logout操作。 父主题: 结合函数工作流对登录/登出进行审计分析
Explorer的代码示例页签,可生成自动对应的SDK代码示例。 状态码 状态码 描述 204 删除成功。 400 服务器未能处理请求。 401 请求鉴权校验失败,访问被拒绝。 403 请求权限校验失败,访问被禁止。 404 服务器无法找到被请求的资源或部分关键操作通知删除失败。 500 服务内部异常,请求未完成;或部分追踪器删除失败。
准备 开通CTS云审计服务 在云审计服务中开通配置追踪器,配置追踪器完成后,系统立即以新的规则开始记录操作。 登录管理控制台。 在管理控制台左上角单击图标,选择区域和项目。 单击左上角,选择“管理与监管 > 云审计服务 CTS”,进入云审计服务详情页面。 单击左侧导航树的“追踪器”,进入追踪器信息页面。
principal_urn 是 String 操作用户身份的URN。 如果是 IAM 用户身份,格式如 iam::<account-id>:user:<user-name> 如果是 IAM 委托会话 身份,格式如 sts::<account-id>:assumed-agency:<agency-
的审计日志即时同步到客户自有的审计系统,独立审计。 客户可在FunctionGraph中,选择某类型的审计日志作为触发器(如文件上传),触发预设的工作流(如转换文件格式),从而简化业务开展、运维或规避问题和风险。 数据价值挖掘 云审计服务支持对审计日志中的数据进行挖掘,为业务健康
云审计功能申请打开之后是否可以自助关闭? 云审计服务本身免费,包括开通追踪器、事件跟踪以及7天内事件的存储和检索,只有配置转储等增值服务才会收费,本身没有必要关闭。 如果用户检查需要关闭云审计功能,有以下两种方法: 可以在追踪器中将已有追踪器删除或停用,删除或停用后,事件仍可以正常上报。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
