检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
租户A通过DEW密钥授权机制,通过用户ID方式将DEW密钥共享给另外一个租户的子用户B。用户B创建了使用租户A DEW密钥加密的OBS桶,用户B在配置CTS系统追踪器时,选择转储到该加密OBS桶后,会配置失败。 操作步骤 登录用户B的管理控制台。 单击左上角服务列表,选择“管理与监管 > 统一身份认证服务 IAM”。
事件结构 事件文件 事件文件是系统自动生成的事件集,云审计服务将按照服务、转储周期两个维度,生成多个事件文件,同步保存至用户指定的OBS桶中。通常情况下,单个服务在单个转储周期内产生的所有事件仅会压缩生成一个事件文件,但在事件数量较多时,系统会根据当前负载情况调整每个事件文件包含的事件数。
计费说明 云审计服务本身免费,包括开通追踪器、事件跟踪以及7天内事件的存储和检索。同时云审计服务与华为云其他云服务可以组合使用(可能会产生部分由其他服务收取的费用),为您提供事件文件转储、事件文件加密等增值服务,这些增值服务可能产生额外费用,通常情况下,云审计服务产生的增值服务费用很低,因此建议您根据实际需要搭配使用。
CTS如何长期保存事件文件——转储至OBS桶 云审计服务仅保存近7天的事件,可以对追踪器增加OBS转储的相关配置,将事件同步、长期保存至OBS桶。具体操作请参考配置追踪器。
如果用户已开通云审计服务,但OBS桶未配置正确的策略,会出现什么情况? 云审计服务会根据既有的OBS存储桶策略来传送事件文件。如果错误地配置OBS存储桶策略,那么云审计服务将无法传送事件文件。 被删除或有异常的OBS桶,管理控制台界面会显示相应的错误提示信息。用户可选择重新创建OBS桶或重新配置OBS桶的访问权限。
开启事件文件完整性校验功能 操作场景 在安全和事故调查中,通常由于事件文件被删除或者被私下篡改,而导致操作记录的真实性受到影响,无法对调查提供有效真实的依据。事件文件完整性校验功能旨在帮助您确保事件文件的真实性。云审计服务支持对配置了OBS转储的追踪器设置事件文件的完整性校验。 开启事件文件完整性校验功能
"is_support_trace_files_encryption": true, //事件文件转储加密功能开关。(可选,布尔)。 "kms_id": "13a4207c-7abe-4b68-8510-16b84c3b5504", //事件文件转储加密所采用的密钥id。( 当"is_support_tra
Service,简称LTS)下的LTS日志流,转储时会按照服务维度压缩审计日志为事件文件。 事件文件加密:支持在转储过程中使用数据加密服务(Data Encryption Workshop,简称DEW)中的密钥对事件文件进行加密。 关键操作通知:支持在发生特定操作时使用消息通知服务(Simple
日志转储的路径,系统自动填写。 文件校验 可以检验转储至OBS桶的数据是否被篡改,保障事件文件的完整性。如何校验文件完整性可参考校验云审计事件文件完整性。 加密事件文件 当OBS所属用户选择“当前用户”时,可以为事件配置加密密钥。 “加密事件文件”开关打开时,云审计会从数据加密服
(OBS),才可在OBS桶里面查看历史文件。否则,您将无法追溯7天以前的操作记录。 前提条件 已注册华为账号并开通华为云,并且通过了实名认证。 关联服务 对象存储服务(Object Storage Service,简称OBS):存储事件文件。 由于云审计服务需要高频次的访问转储的
String 事件文件转储加密所采用的密钥id,is_support_trace_files_encryption"参数值为“是”时,此参数为必选项。 is_support_trace_files_encryption 否 Boolean 事件文件转储加密功能开关。 该参数必须与kms_id参数同时使用。
云审计服务会定时将跟踪到的事件以事件文件的形式按周期保存至OBS桶。事件文件是按照服务、转储周期两个维度生成的事件集,系统会根据当前负载情况调整每个事件文件包含的事件数。云审计服务还支持将审计日志保存到LTS日志流中。 本节介绍如何在OBS中通过下载事件文件查看已保存至OBS桶的历史操作
校验云审计事件文件完整性 开启事件文件完整性校验功能 摘要文件 事件文件完整性校验
务商所负责的客户业务系统平台与资源的合规以及客户负责的自身业务系统的合规。 一方面,云审计服务是合规性的组成部分之一,其几乎覆盖所有服务、所有资源的操作记录能力,以及审计日志在传输、存储、加密、容灾、防篡改等方面的安全能力,是认证中针对业务系统平台与资源合规的核心保障。另一方面,
”,在指定时间范围内的摘要文件可以从最近开始往前连续校验。 摘要文件桶 摘要文件提交到和事件文件相同的与跟踪器关联的OBS桶中。 摘要文件存储文件夹 摘要文件存放在与事件文件不同的文件夹中,分开放置便于您执行细粒度安全策略。 父主题: 校验云审计事件文件完整性
es_encryption 否 Boolean 事件文件转储加密功能开关。 当"tracker_type"参数值为"system"时该参数值有效。 该参数必须与kms_id参数同时使用。 kms_id 否 String 事件文件转储加密所采用的密钥id(从KMS获取)。 当"tr
您可以使用本文档提供API对云审计服务进行相关操作,如创建、删除追踪器等。支持的全部操作请参见API概览。 在调用云审计服务的API之前,请确保已经充分了解云审计服务的相关概念与功能,详细信息请参见产品介绍。 终端节点 终端节点(Endpoint)即调用API的请求地址,不同服务不同区域的终端节点不同,您可以从地区和终端节点中查询云审计服务的终端节点。
审计控制台配置追踪器,才能使用审计事件转储至LTS功能。全局级服务在其他region的云审计控制台配置时,上述功能不会生效。 您可以在约束与限制中,查阅目前华为云的全局级服务信息。 在您没有配置转储前,云审计控制台对用户的操作事件日志保留7天,过期自动删除,在配置转储后也无法查看。
通过云日志服务LTS存储和查询审计事件 云审计服务(CTS)直接对接华为云上的其他服务,实时记录用户对云服务资源的操作动作和结果,还支持将记录内容以事件文件形式保存至OBS桶或LTS日志流中。本文以“创建云服务器”(操作名称:createServer)为例,为您介绍如何通过云日志服务(LTS)存储和查询审计事件。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
