检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
service_type 是 String 标识查询事件列表对应的云服务类型。 event_type 是 String 标识事件对应的事件类型。 project_id 是 String 标识事件所属的项目ID。 resource_type 是 String 查询事件列表对应的资源类型。 resource_account_id
} else { fmt.Println(err) } } 更多编程语言的SDK代码示例,请参见API Explorer的代码示例页签,可生成自动对应的SDK代码示例。 状态码 状态码 描述 204 删除成功。 400 服务器未能处理请求。 401 请求鉴权校验失败,访问被拒绝。
is_organization_tracker 否 Boolean 是否应用到我的组织。 只针对管理类追踪器。设置为true时,ORG组织下所有成员当前区域的审计日志会转储到该追踪器配置的OBS桶或者LTS日志流,但是事件列表界面不支持查看其它组织成员的审计日志。 management_event_selector
ket-01”,云审计记录的事件将持续转储到该OBS桶。在OBS桶中查看事件记录的详细操作请参考在OBS桶中查看历史事件记录。 图2 OBS桶名称 场景二:将云审计记录的事件转储到LTS 进入云审计服务页面。 在“区域”下拉列表中,选择靠近您应用程序的区域,可降低网络延时、提高访问速度。
下载云审计服务记录的操作事件 云审计服务默认为每个华为云账号记录最近7天的操作事件,最近7天的操作事件仅支持通过云审计控制台查询,您可以在云审计控制台导出本次查询结果的所有事件。 如果您因为审计要求需要获取7天以上的操作事件,或者需要将事件下载到本地进行分析,则必须配置syste
云审计服务管理控制台支持停用/启用已创建的追踪器。追踪器停用成功后,系统将不再记录新的操作,但是您依旧可以查看已有的操作记录。 本节介绍如何停用/启用追踪器。 使用限制 停用追踪器后,操作事件仍可以正常上报到云审计服务。您可以在事件列表查看已有的7天内的操作记录,但是您无法查看新的操作记录、转储事件至OBS/LTS和接收关键事件通知。
tem的管理追踪器,之后您也可以在追踪器页面创建多个数据追踪器。管理追踪器会自动识别并关联当前租户所使用的所有云服务,并将当前租户的所有操作记录在该追踪器中。数据追踪器会记录租户对OBS桶中的数据操作的详细信息。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7
启用云审计服务,便于云上用户对操作的事后审查 云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 您开通云审计服务
-bucket”),禁止使用ip为桶名称。 当“选择OBS”选择“选择已有OBS桶”时,可以选择已存在的OBS桶。 保存周期 管理类事件追踪器的保存周期默认沿用在OBS的配置,不支持修改。 事件文件名前缀 用于标识被转储的事件文件,该字段支持用户自定义,会自动添加在转储事件文件的文件名前端,方
“事件名称:disableKey”。 在事件列表查看事件的查询结果。 场景二:查询指定DEW密钥的使用情况 在云审计控制台,单击左侧导航栏的“事件列表”。 单击页面上方的“最近1小时”,设置查询的时间范围。 在搜索框中输入需要查询的指定DEW密钥的密钥ID:“资源ID:{resource_id}”。
d字段的字段索引,重新执行查询语句。配置说明请参考配置索引。 图5 搜索access_key_id 单击搜索框右侧的图标,可以创建快速查询。输入快速查询名称后,单击“确定”。 图6 创建快速查询 创建快速查询后,您可以在云日志服务控制台的CTS日志组页面直接选择该快速查询。 图7
如何通过云审计服务确认ECS的创建用户 问题描述 如果您需要确定一台ECS的创建用户,可以通过CTS记录的事件进行查看。 前提条件 已开启云审计服务 已开启获取创建的ECS主机的资源ID 操作方法 登录云审计控制台。 单击左侧导航树的“事件列表”,进入事件列表界面。 时间范围选择
事件样例 以下提供云审计服务所收集事件的两个页面样例,并对其中常用的观察点进行了描述,以方便用户更直观的理解事件信息。其他服务所产生的事件可参照以下样例理解。 详细的字段解释可参考事件结构章节。 创建云服务器实例 云硬盘实例 创建云服务器实例 { "trace_id":
使用云审计服务监控华为云账号的使用 华为云账号是您的华为云资源归属、资源使用计费的主体。华为云账号泄露会威胁您所有资源的安全。您可以使用云审计服务监控华为云账号的使用,设置告警保障您的华为云账号下资源的安全。 本章为您介绍如何通过云审计服务的操作审计功能和转储审计日志到LTS功能
当现网某个特定资源或动作出现问题,可根据云审计服务收集的日志记录,通过查询对应时间、对应资源的操作记录,查看当时的请求动作和响应,支撑问题定位分析。 本章节介绍,通过云审计服务如何定位现网某个弹性云服务器在某日上午发生的故障,以及如何定位现网创建弹性云服务器操作失败的问题。 前提条件 已开通云审计服务
理类追踪器将多个账号记录的事件统一转储到一个OBS桶。本节介绍如何配置跨租户转储。 授权跨租户转储 租户B登录管理控制台。 租户A为需要配置跨租户转储的账号,租户B为OBS桶所在的账号。 OBS不支持跨region转储,目前OBS桶所处区域只能是不同租户的同一个region。 在
CTS会记录云服务器创建失败的事件吗? CTS会记录云服务器创建失败的事件。用户进行创建云服务器操作时,这个操作动作和操作结果会上报到CTS中。 工作原理 云审计服务支持审计ECS服务,记录云服务器相关的操作事件,便于日后的查询、审计和回溯。 CTS支持审计的ECS关键操作请参考弹性
默认查询过去1小时以内的操作记录。通过设置时间范围,最多可以查看最近7天的操作记录。 单击左侧导航树的“追踪器”,进入追踪器详情页面,获取OBS桶名或LTS日志组信息。 参照查询云审计服务转储事件查询7天之前或者所有的事件。 从第5步和第7步的结果中,检视该弹性云服务器的所有操作和变更记录。
云审计服务管理控制台支持停用/启用已创建的追踪器。追踪器停用成功后对已有的操作记录没有影响。 本节介绍如何停用/启用追踪器。 使用限制 停用追踪器后,操作事件仍可以正常上报到云审计服务。您可以在事件列表查看已有的7天内的操作记录,但是您无法查看新的操作记录、转储事件至OBS/LTS和接收关键事件通知。
入门实践 当您完成了查看审计事件、配置追踪器等基本操作后,可以根据自身的业务需求使用云审计服务提供的一系列常用实践。 表1 常用最佳实践 实践 描述 结合函数工作流对登录/登出进行审计分析 该实践介绍如何通过CTS云审计服务,完成对公有云账户的各个云服务资源操作和结果的实时记录。 通过
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
