检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
使用IAM用户(子帐号)在CTS配置转储,操作OBS桶也必须是IAM用户么? 不是,操作OBS桶的用户不区分IAM用户和帐号,只需要用户具备操作OBS桶的权限即可。
事件样例 以下提供云审计服务所收集事件的两个页面样例,并对其中常用的观察点进行了描述,以方便用户更直观的理解事件信息。其他服务所产生的事件可参照以下样例理解。 详细的字段解释可参考事件结构章节。 创建云服务器实例 云硬盘实例 创建云服务器实例 { "trace_id":
SMN的计费详情请参考产品价格详情。 步骤一:开通云审计服务 登录云审计控制台。 单击左侧导航树的“追踪器”,进入追踪器界面。 单击右上方的“开通云审计服务”按钮,系统会自动为您创建一个名为system的管理类事件追踪器。 在管理类追踪器(system)的右侧,单击操作下的“配置”。
理类追踪器将多个账号记录的事件统一转储到一个OBS桶。本节介绍如何配置跨租户转储。 授权跨租户转储 租户B登录管理控制台。 租户A为需要配置跨租户转储的账号,租户B为OBS桶所在的账号。 OBS不支持跨region转储,目前OBS桶所处区域只能是不同租户的同一个region。 在
名为system的管理追踪器,之后您也可以在追踪器页面创建多个数据追踪器。管理追踪器会自动识别并关联当前租户所使用的所有云服务,并将当前租户的所有操作记录在该追踪器中。数据追踪器会记录租户对OBS桶中的数据操作的详细信息。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要
当现网某个特定资源或动作出现问题,可根据云审计服务收集的日志记录,通过查询对应时间、对应资源的操作记录,查看当时的请求动作和响应,支撑问题定位分析。 本章节介绍,通过云审计服务如何定位现网某个弹性云服务器在某日上午发生的故障,以及如何定位现网创建弹性云服务器操作失败的问题。 前提条件 已开通云审计服务
用户可以对事件文件执行以下两种操作: 事件文件的创建和保存: 当用户在弹性云服务器、云硬盘服务、镜像服务等其它与云审计服务完成对接的服务中,进行了增加、删除、修改类型的操作时,被操作的服务会自动记录操作动作及操作结果,并按照指定的格式发送事件到云审计服务完成事件归档。 云审计服务管理控制台会保存最近7天的操作记录,
追踪器配置成功后,您可以在追踪器信息页面查看配置的追踪器的详细信息。 因为CTS所存储的事件是周期性转储到OBS桶的,因此当您配置了追踪器所对应的OBS桶后,当前转储周期内(通常为数分钟)已收到事件会转储到配置后的OBS桶中。例如当前转储周期为12:00~12:05,用户在12:02分修改了当前追踪器对应的OBS桶,
关键操作通知服务支持哪些服务? 云审计服务支持对全部的关键操作发送通知,支持的服务类型包括ECS、EVS、VPC、DEW、IAM和原生OpenStack等,支持的操作类型上包括创建、删除、登录和对原生OpenStack接口等操作。
处理结果 若用户触发账号的登录/登出操作,订阅服务类型日志被触发,日志会直接调用用户函数,通过函数代码对当前登录/出的账号进行IP过滤,若不在白名单内,可收到SMN发送的通知消息邮件,如图1所示。 图1 告警消息邮件通知 邮件信息中包含非法请求ip地址和用户执行的动作(login/logout)。
默认查询过去1小时以内所有创建或删除EVS的操作。通过设置时间范围,最多可以查询7天以内所有创建或删除EVS的操作。 在支持审计的服务及操作列表中可以查看目前云平台的支持审计的全部云服务及操作。 若要获取最近7天以前的操作记录,则需要到OBS桶或LTS日志组中查询。查询历史事件的详细操作请参照查询云审计服务转储事件。
给用户组授予策略或角色,才能使用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对CTS进行操作。 权限根据授权的精细程度,分为角色和策略。角色以服务为粒度,是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略以API接口为粒度进
Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户使用云审计服务并创建和配置追踪器后,CTS可记录CTS的管理事件用于审计。 CTS的入门指导和基本操作,请参见云审计服务《快速入门》。
为防止资源滥用,平台限定了各服务资源的配额,对用户的资源数量和容量做了限制。如您最多可以创建多少关键操作通知。 如果当前资源配额限制无法满足使用需要,您可以申请扩大配额。 怎样查看我的配额? 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面右上角,选择“资源 > 我的配额”。 系统进入“服务配额”页面。
BS永久存储 由于CTS只支持查询7天的审计事件,为了您事后审计、查询、分析等要求,启用CTS追踪器请配置OBS服务桶(建议您配置独立OBS桶并配置KMS加密存储专门用于归档审计事件)。当云上资源发生变化时,CTS服务将审计事件归档至OBS的桶,操作详情参考:追踪器配置OBS转储。
用户添加操作权限的准备工作。 配置事件转储至OBS 在管理类事件追踪器配置页面,开启“转储到OBS”功能后,您就能将审计日志周期性的转储至对象存储服务下的OBS桶。 在OBS桶中查看历史事件记录 在对象存储服务的OBS桶中,您可以下载事件文件查看已保存至OBS桶的历史操作记录。 使用限制
户添加操作权限的准备工作。 配置事件转储至LTS 在管理类事件追踪器配置页面,开启“转储到LTS”功能后,您就能将审计日志周期性的转储至云日志服务下的LTS日志流。 在LTS日志流中查看历史事件记录 在云日志服务的LTS日志流中,您可以查看已保存至LTS日志流中的历史操作记录。 使用限制
过去1小时以内的操作记录。通过设置时间范围,最多可以查看最近7天的操作记录。 单击左侧导航树的“追踪器”,进入追踪器详情页面,获取OBS桶名或LTS日志组信息。 参照查询云审计服务转储事件查询7天之前或者所有的事件。 从第5步和第7步的结果中,检视该弹性云服务器的所有操作和变更记录。
从政策、行业规范角度,云审计服务是信息安全审计功能的核心必备组件,是企事业单位信息系统安全风险管控的重要组成部分,也是很多行业标准、审计规范的必备组成部分。 从应用角度,云审计服务是云资源出现问题时,降低问题定位时间和人力成本的有效手段,能够精确定位到问题发生时的所有操作,借以减小问题排查范围。
查询追踪器 功能介绍 开通云审计服务成功后,您可以在追踪器信息页面查看系统自动创建的追踪器的详细信息。详细信息主要包括追踪器名称,用于存储操作事件的OBS桶名称和OBS桶中的事件文件前缀。 URI GET /v1.0/{project_id}/tracker 表1 路径参数 参数
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
