云审计服务 CTS
云审计服务 CTS
- 最新动态
- 功能总览
- 产品介绍
- 快速入门
- 用户指南
- 最佳实践
- API参考
- SDK参考
- 场景代码示例
-
常见问题
- 使用IAM用户(子账号)在CTS配置转储,操作OBS桶也必须是IAM用户么?
- 事件列表用于记录哪些信息?
- 用户公有云账户欠费给云审计服务带来的影响?
- 哪些用户应该开通云审计服务?
- 如果用户已开通云审计服务,但OBS桶未配置正确的策略,会出现什么情况?
- 云审计服务是否支持事件文件的完整性校验?
- 为什么查看事件窗口中的有些事件的字段为空?
- 为什么事件列表中的某些操作被记录了两次?
- 为什么在事件列表中按照操作用户进行筛选时,存在user_name和op_service用户?
- 关键操作通知服务支持哪些服务?
- CTS如何长期保存事件文件——转储至OBS桶
- 为什么有些trace_type为systemAction的事件,存在user和source_ip为空的情况?
- 事件级别中的三个字段分别代表什么?
- 如何通过云审计服务确认ECS的创建用户
- 如何查询IAM用户登录的IP地址
- cts_admin_trust委托被误删除怎么办?
- 为什么按需和包周期创建虚拟机的时候会有两个deleteMetadata事件?
- 如果账号被冻结、解除冻结、受限或解除受限,导致访问CTS前台提示系统繁忙,如何处理?
- 如何删除cts_admin_trust委托中Tenant Administrator的权限?
- 查询不到事件怎么办?
- 云审计功能申请打开之后是否可以自助关闭?
- 如何配置CTS审计日志存储180天?
- 在CTS控制台无法创建追踪器
- 使用IAM用户无法开通CTS怎么办?
- 如何给云硬盘添加告警通知?
- 可以接收重复的事件吗?
- 跨租户密钥授权OBS桶转储失败怎么办?
- cts_admin_trust委托是否包含OBS授权?
- CTS会记录云服务器创建失败的事件吗?
- 视频帮助
- 文档下载
- 通用参考
链接复制成功!
使用云审计服务监控AccessKey的使用
访问密钥(AccessKey)包括访问密钥ID(AccessKey ID)和访问密钥密码(AccessKey Secret),用于标识用户和验证用户的密钥。AccessKey泄露会威胁您资源的安全。
云审计服务帮助您监控AccessKey相关事件,以便您发现AccessKey使用异常时快速应对。
本章为您介绍如何通过云审计服务的操作审计功能和转储审计日志到LTS功能,对AccessKey相关事件进行监控,并使用LTS日志告警功能发出告警。
准备工作
为用户添加云审计服务(CTS)和云日志服务(LTS)操作权限。
- 如果您是以主账号登录华为云,请跳到步骤一:开通云审计服务并配置system追踪器。
- 如果您是以IAM用户登录华为云,需要联系CTS管理员(主账号或admin用户组中的用户)对IAM用户授予CTS FullAccess权限。授权方法请参见给IAM用户授权。
- 联系LTS管理员(主账号或admin用户组中的用户)对IAM用户授予LTS FullAccess权限。
步骤一:开通云审计服务并配置system追踪器
- 登录云审计控制台。
- 单击左侧导航栏的“追踪器”,进入追踪器界面。
- 单击右上方的“开通云审计服务”按钮,系统会自动为您创建一个名为system的管理类事件追踪器。
- 在管理类追踪器(system)的右侧,单击操作下的“配置”。
图1 追踪器配置
- 设置追踪器的基本信息,单击“下一步”。
参数
参数说明
本实践要求
追踪器名称
默认为system,不可修改。
system
企业项目
如果您的账号开通了企业项目管理功能,则需要在此处选择一个企业项目。
default
排除DEW事件
默认不勾选。勾选后,用户对数据加密服务(DEW)的createDataKey操作和decryptDatakey操作将不会被转储到OBS/LTS。
不勾选
- 在配置转储页面,打开“转储到LTS”开关,系统会自动在LTS创建日志组:CTS,日志流:system-trace,操作事件将转储到日志流中。
图2 开启转储到LTS功能
- 单击“下一步 > 配置”,完成配置system追踪器。追踪器配置成功后,您可以在追踪器页面查看配置的追踪器的详细信息。
步骤二:在LTS中查询事件
- 在云审计控制台的追踪器页面,单击system追踪器右侧的LTS日志流名称,进入到system-trace日志流详情页面。
图3 单击日志流名称图4 system-trace日志流页面
- 单击右上角的“15分钟(相对)”,设置查询的时间范围。
- 在搜索框中输入access_key_id:{access_key_id},单击“查询”。
说明:
- {access_key_id}请替换为您自己的AccessKey ID。
- 查询日志时报错提示:access_key_id 字段未配置字段索引,不支持查询该字段。
- 可能原因:用户没有配置字段索引。
- 解决方法:请您在索引配置中创建access_key_id字段的字段索引,重新执行查询语句。配置说明请参考配置索引。
图5 搜索access_key_id - 单击搜索框右侧的
图标,可以创建快速查询。输入快速查询名称后,单击“确定”。
图6 创建快速查询 - 创建快速查询后,您可以在云日志服务控制台的CTS日志组页面直接选择该快速查询。
图7 快速查询
步骤三:在LTS中配置告警
- 在云日志服务控制台的CTS日志组页面,单击右上方的
图标,可以添加告警。
- 在新建告警规则面板配置相关参数,然后单击“确定”。配置说明请参考配置日志告警规则。
- 设置告警规则后,满足触发条件即可收到告警通知,例如您可以设置:如果access_key_id在5分钟内被使用过,则上报告警。
- 添加的告警可以在云日志服务控制台“日志告警”页面进行管理。