- 最新动态
- 功能总览
- 产品介绍
- 快速入门
- 用户指南
- 最佳实践
- API参考
- SDK参考
- 场景代码示例
-
常见问题
- 使用IAM用户(子账号)在CTS配置转储,操作OBS桶也必须是IAM用户么?
- 事件列表用于记录哪些信息?
- 用户公有云账户欠费给云审计服务带来的影响?
- 哪些用户应该开通云审计服务?
- 如果用户已开通云审计服务,但OBS桶未配置正确的策略,会出现什么情况?
- 云审计服务是否支持事件文件的完整性校验?
- 为什么查看事件窗口中的有些事件的字段为空?
- 为什么事件列表中的某些操作被记录了两次?
- 为什么在事件列表中按照操作用户进行筛选时,存在user_name和op_service用户?
- 关键操作通知服务支持哪些服务?
- CTS如何长期保存事件文件——转储至OBS桶
- 为什么有些trace_type为systemAction的事件,存在user和source_ip为空的情况?
- 事件级别中的三个字段分别代表什么?
- 如何通过云审计服务确认ECS的创建用户
- 如何查询IAM用户登录的IP地址
- cts_admin_trust委托被误删除怎么办?
- 为什么按需和包周期创建虚拟机的时候会有两个deleteMetadata事件?
- 如果账号被冻结、解除冻结、受限或解除受限,导致访问CTS前台提示系统繁忙,如何处理?
- 如何删除cts_admin_trust委托中Tenant Administrator的权限?
- 查询不到事件怎么办?
- 云审计功能申请打开之后是否可以自助关闭?
- 如何配置CTS审计日志存储180天?
- 在CTS控制台无法创建追踪器
- 使用IAM用户无法开通CTS怎么办?
- 如何给云硬盘添加告警通知?
- 可以接收重复的事件吗?
- 跨租户密钥授权OBS桶转储失败怎么办?
- cts_admin_trust委托是否包含OBS授权?
- CTS会记录云服务器创建失败的事件吗?
- 视频帮助
- 文档下载
- 通用参考
链接复制成功!
将云审计记录的事件持续投递到指定服务
云审计服务记录了用户对云服务资源新建、修改、删除等操作的详细信息,记录的事件信息会在云审计中保存7天。在您没有配置转储前,云审计控制台对用户的操作事件日志保留7天,过期自动删除,在配置转储后也无法查看。
如果您因为审计要求需要获取7天以上的操作事件,则需要在云审计控制台配置事件转储至OBS或LTS,云审计服务会定期将操作记录同步保存到OBS桶或LTS日志流中进行长期保存。
本章将为您介绍如何将云审计记录的事件持续投递到对象存储服务(OBS)和云日志服务(LTS)。
使用限制
全局级服务需要在中心region(北京四)的云审计控制台配置追踪器,才能使用审计事件上报至CTS功能和审计事件转储至OBS/LTS功能。您可以在约束与限制中,查阅目前华为云的全局级服务信息。
场景一:将云审计记录的事件转储到OBS
- 进入云审计服务页面。
- 在“区域”下拉列表中,选择靠近您应用程序的区域,可降低网络延时、提高访问速度。
在本案例中,选择“华北-北京四”区域。
- 在左侧导航栏,单击“追踪器”,进入追踪器页面。
- 在system追踪器右侧的操作栏,单击“配置”。
图1 配置system追踪器
- 在基本信息页面,设置基本信息,设置完成后,单击“下一步 ”。
表1 设置基本信息 参数
参数说明
本案例示例
追踪器名称
管理类事件追踪器的名称默认为“system”,不可修改。
system
企业项目
企业项目是一种云资源管理方式,由企业项目管理服务提供将云资源统一按项目管理、项目内的资源管理或成员管理。开启企业项目的具体操作请参考创建企业项目。- 如果您没有开通企业项目管理服务,请跳到下一项。
- 如果您开通了企业项目管理服务,在本案例中,企业项目选择“default”即可。
default
应用到我的组织
云审计服务支持组织云服务的多账号关系的管理能力,开启“应用到我的组织”后,可以实现以下能力,具体操作请参考组织追踪器。
- 使用组织管理员账号,在组织云服务中启用云审计可信服务并设置委托管理员账号。
- 使用委托管理员账号,在云审计服务中配置组织追踪器,配置完成后,委托管理员账号就可以实现安全审计等云审计能力。
不开启开关
事件操作类型
勾选“排除DEW事件”后,追踪器将不会转储您对数据加密服务(DEW)的相关操作。
数据加密服务(DEW)的相关审计操作请参考数据加密服务相关的操作事件。
不勾选“排除DEW事件”
- 在配置转储页面,配置转储参数,设置完成后,单击“下一步 > 配置”,配置追踪器完成后,系统立即以新的规则开始记录操作。
表2 配置转储至OBS参数 参数
参数说明
本案例示例
转储到OBS
云审计服务记录了租户对云服务资源新建、修改、删除等操作的详细信息,记录的事件信息会在云审计中保存7天。如果需要将操作记录保存7天以上,则需要配置事件转储至OBS功能,云审计服务会定期将操作记录同步保存到用户定义的OBS桶中进行长期保存。
开启“转储到OBS”功能后,您就能将审计日志周期性的转储至对象存储服务下的OBS桶。
开启开关
创建云服务委托
用户开启“转储到OBS”功能后,必须勾选“创建云服务委托”,云审计服务将会自动创建一个云服务委托cts_admin_trust,委托授权您使用对象存储服务(OBS)。
勾选“创建云服务委托”
OBS桶所属用户
您可以将事件转储至当前用户或其他用户的OBS桶中,方便统一管理。
- 选择当前用户:无需授予转储权限。
- 选择其他用户:转储前需要OBS桶所属用户已经对您当前用户授予转储权限,否则会造成转储失败。授予转储权限的方法请参考跨租户转储授权。
选择“当前用户”
选择OBS
您可以选择新建OBS桶或选择已有OBS桶。
- 新建OBS桶:在您填写一个桶名后系统将自动为您创建一个OBS桶。
说明:
当前创建的OBS桶是一个单AZ标准存储的私有桶。如果需要其他额外配置,建议提前在OBS服务创建OBS桶,然后“选择已有OBS桶”。
- 选择已有OBS桶:选择当前区域已创建的OBS桶。
选择“新建OBS桶”
OBS桶名称
OBS桶名称不能为空,仅支持小写字母、数字、“-”和“.”,且长度范围为3-63个字符。禁止两个“.”相邻(如“my..bucket”),禁止“.”和“-”相邻(如“my-.bucket”和“my.-bucket”),禁止使用ip为桶名称。
system-bucket-01
保存周期
不同类型、不同级别的合规认证标准对审计日志的保存时间有不同的要求,当您配置管理类事件追踪器时,保存周期默认“沿用OBS配置”,不支持修改。
沿用OBS配置
事件文件名前缀
事件文件名前缀用于标识被转储的事件文件,该字段支持用户自定义,会自动添加在转储事件文件的文件名前端,方便用户快速进行筛选。事件文件名前缀只能由英文字母、数字、下划线(_)、中划线(-)和小数点(.)组成,且长度范围为0-64个字符。
事件文件命名格式:
操作事件文件前缀_CloudTrace_区域标示/区域标示-项目标示_日志文件上传至OBS的时间标示:年-月-日T时-分-秒Z_系统随机生成字符.json.gz
例如:FilePrefix_CloudTrace_cn-north-4_2024-12-13T01-29-19Z_47b9d51830deff47.json.gz
FilePrefix
文件校验
开启“文件校验”开关,即可启用事件文件完整性校验功能,云审计服务会在每个小时将上一个小时内所有事件文件的哈希值生成一个摘要文件,并将该摘要文件同步存储至当前追踪器配置的OBS桶中,您可以使用这些文件实现自己的校验解决方案。
事件文件完整性校验详细操作请参考事件文件完整性校验。
有关摘要文件的更多信息,请参阅摘要文件。
不开启开关
加密事件文件
云审计支持对事件文件加密存储,在转储过程中需使用数据加密服务(简称DEW)中的密钥对存储在OBS桶中的事件文件进行加密。
当OBS所属用户选择“当前用户”时,开启“加密事件文件”开关,云审计会从DEW获取当前用户的密钥ID,在下拉选项可以直接选择密钥。
不开启开关
- 在追踪器页面,system追踪器的“存储服务”一栏,会显示您在配置转储时设置的OBS桶“system-bucket-01”,云审计记录的事件将持续转储到该OBS桶。在OBS桶中查看事件记录的详细操作请参考在OBS桶中查看历史事件记录。
图2 OBS桶名称
场景二:将云审计记录的事件转储到LTS
- 进入云审计服务页面。
- 在“区域”下拉列表中,选择靠近您应用程序的区域,可降低网络延时、提高访问速度。
在本案例中,选择“华北-北京四”区域。
- 在左侧导航栏,单击“追踪器”,进入追踪器页面。
- 在system追踪器右侧的操作栏,单击“配置”。
图3 配置system追踪器
- 在基本信息页面,设置基本信息,设置完成后,单击“下一步 ”。
表3 设置基本信息 参数
参数说明
本案例示例
追踪器名称
管理类事件追踪器的名称默认为“system”,不可修改。
system
企业项目
企业项目是一种云资源管理方式,由企业项目管理服务提供将云资源统一按项目管理、项目内的资源管理或成员管理。开启企业项目的具体操作请参考创建企业项目。- 如果您没有开通企业项目管理服务,请跳到下一项。
- 如果您开通了企业项目管理服务,在本案例中,企业项目选择“default”即可。
default
应用到我的组织
云审计服务支持组织云服务的多账号关系的管理能力,开启“应用到我的组织”后,可以实现以下能力,具体操作请参考组织追踪器。
- 使用组织管理员账号,在组织云服务中启用云审计可信服务并设置委托管理员账号。
- 使用委托管理员账号,在云审计服务中配置组织追踪器,配置完成后,委托管理员账号就可以实现安全审计等云审计能力。
不开启开关
事件操作类型
勾选“排除DEW事件”后,追踪器将不会转储您对数据加密服务(DEW)的相关操作。
数据加密服务(DEW)的相关审计操作请参考数据加密服务相关的操作事件。
不勾选“排除DEW事件”
- 在配置转储页面,配置转储参数,设置完成后,单击“下一步 > 配置”,配置追踪器完成后,系统立即以新的规则开始记录操作。
表4 配置转储至LTS参数 参数
参数说明
本案例示例
转储到LTS
云审计服务记录了租户对云服务资源新建、修改、删除等操作的详细信息,控制台事件列表中会保存最近7天的操作记录。如果需要将操作记录保存7天以上,则需要配置事件转储至LTS功能,云审计服务会定期将操作记录同步保存到用户定义的LTS日志流中进行长期保存。
开启“转储到LTS”功能后,您就能将审计日志周期性的转储至云日志服务下的LTS日志流。
开启开关
日志组名称
日志组名称默认为“CTS”,不支持修改。操作事件将转储到“CTS/system-trace”日志流中。
CTS
- 在追踪器页面,system追踪器的“存储服务”一栏,会显示您在配置转储时设置的LTS日志流“CTS/system-trace”,云审计记录的事件将持续转储到该LTS日志流。在LTS日志流中查看事件记录的详细操作请参考在LTS日志流中查看历史事件记录。
图4 日志流名称