使用云审计服务监控华为云账号的使用
华为云账号是您的华为云资源归属、资源使用计费的主体。华为云账号泄露会威胁您所有资源的安全。您可以使用云审计服务监控华为云账号的使用,设置告警保障您的华为云账号下资源的安全。
本章为您介绍如何通过云审计服务的操作审计功能和转储审计日志到LTS功能,对华为云账号进行监控,并使用LTS日志告警功能发出告警。
准备工作
- 如果您是以主账号登录华为云,请跳到步骤一:开通云审计服务并配置system追踪器。
- 如果您是以IAM用户登录华为云,需要联系CTS管理员(主账号或admin用户组中的用户)对IAM用户授予CTS FullAccess权限。授权方法请参见给IAM用户授权。
- 联系LTS管理员(主账号或admin用户组中的用户)对IAM用户授予LTS FullAccess权限。
使用云日志服务(LTS)日志存储功能,这会产生额外费用,LTS的计费详情请参考产品价格详情。
步骤一:开通云审计服务并配置system追踪器
- 登录云审计控制台。
- 单击左侧导航栏的“追踪器”,进入追踪器界面。
- 单击右上方的“开通云审计服务”按钮,系统会自动为您创建一个名为system的管理类事件追踪器。
- 在管理类追踪器(system)的右侧,单击操作下的“配置”。
图1 追踪器配置
- 设置追踪器的基本信息,单击“下一步”。
参数
参数说明
本实践要求
追踪器名称
默认为system,不可修改。
system
企业项目
如果您的账号开通了企业项目管理功能,则需要在此处选择一个企业项目。
说明:企业项目是一种云资源管理方式,由企业项目管理服务提供将云资源统一按项目管理、项目内的资源管理或成员管理。
开启企业项目的具体操作请参考创建企业项目。
default
排除DEW事件
默认不勾选。勾选后,用户对数据加密服务(DEW)的createDataKey操作和decryptDatakey操作将不会被转储到OBS/LTS。
说明:数据加密服务(DEW)的相关审计操作请参考数据加密服务相关的操作事件。
不勾选
- 在配置转储页面,打开“转储到LTS”开关,系统会自动在LTS创建日志组:CTS,日志流:system-trace,操作事件将转储到日志流中。
图2 开启转储到LTS功能
- 单击“下一步 > 配置”,完成配置system追踪器。追踪器配置成功后,您可以在追踪器页面查看配置的追踪器的详细信息。
步骤二:在LTS中查询事件
- 在云审计控制台的追踪器页面,单击system追踪器右侧的LTS日志流名称,进入到system-trace日志流详情页面。
图3 单击日志流名称
图4 system-trace日志流页面
- 单击右上角的“15分钟(相对)”,设置查询的时间范围。
- 在搜索框中输入user.name:{username},单击“查询”。
- 执行搜索与分析前,需要将上报的日志进行结构化配置和索引配置,详细请参考设置云端结构化解析日志和设置LTS日志索引配置。
- {username}请替换为您自己的用户名称。用户名称是指:在控制台右上角用户名的下拉选项中,选择“我的凭证”,在我的凭证页面中获取“IAM用户名”。
图5 搜索user.name
- 单击搜索框右侧的图标,可以创建快速查询。输入快速查询名称后,单击“确定”。
图6 创建快速查询
- 创建快速查询后,您可以在云日志服务控制台的CTS日志组页面直接选择该快速查询。
步骤三:在LTS中配置告警
- 在云日志服务控制台的CTS日志组页面,单击右上方的图标,可以添加告警。
- 在新建告警规则面板配置相关参数,然后单击“确定”。配置说明请参考配置日志告警规则。
- 设置告警规则后,满足触发条件即可收到告警通知。
- 添加的告警可以在云日志服务控制台“日志告警”页面进行管理。