配置云审计事件转储至OBS并查看
云审计服务记录了租户对云服务资源新建、修改、删除等操作的详细信息,记录的事件信息会在云审计中保存7天。如果需要将操作记录保存7天以上,则需要配置事件转储至OBS功能,云审计服务会定期将操作记录同步保存到用户定义的OBS桶中进行长期保存。
本文将为您介绍云审计服务(CTS)配置事件转储至OBS的操作流程,并指导您在OBS桶中查看历史事件记录,帮助您快速上手云审计服务。
- 准备工作
在配置事件转储至OBS之前,您需要完成注册华为云并实名认证、为账户充值、为用户添加操作权限的准备工作。
- 配置事件转储至OBS
在管理类事件追踪器配置页面,开启“转储到OBS”功能后,您就能将审计日志周期性的转储至对象存储服务下的OBS桶。
- 在OBS桶中查看历史事件记录
在对象存储服务的OBS桶中,您可以下载事件文件查看已保存至OBS桶的历史操作记录。
准备工作
- 注册华为云并实名认证。
如果您已有一个华为账户,请跳到下一个任务。如果您还没有华为账户,请参考以下步骤创建。
- 打开华为云官网,单击“注册”。
- 根据提示信息完成注册,详细操作请参见如何注册华为云管理控制台的用户?。
注册成功后,系统会自动跳转至您的个人信息界面。
- 参考实名认证完成个人或企业账号实名认证。
- 为账户充值。
使用事件转储至OBS功能会产生额外费用,您需要确保账户有足够金额。
- 关于OBS服务的价格,请参见对象存储服务价格详情。
- 关于充值,请参见如何给华为账户充值。
- 为用户添加操作权限。
如果您是以主账号登录华为云,请跳到下一个任务。
如果您是以IAM用户登录华为云,需要联系CTS管理员(主账号或admin用户组中的用户)对IAM用户授予CTS FullAccess权限。授权方法请参见给IAM用户授权。
配置事件转储至OBS
- 进入云审计服务页面。
- 在“区域”下拉列表中,选择靠近您应用程序的区域,可降低网络延时、提高访问速度。
在本案例中,选择“华北-北京四”区域。
- 在左侧导航栏,单击“追踪器”,进入追踪器页面。
- 在system追踪器右侧的操作栏,单击“配置”。
图1 配置system追踪器
- 在基本信息页面,按照如下参数进行设置,设置完成后,单击“下一步 ”。
图2 设置基本信息
表1 设置基本信息 参数
参数说明
本案例示例
追踪器名称
管理类事件追踪器的名称默认为“system”,不可修改。
system
企业项目
企业项目是一种云资源管理方式,由企业项目管理服务提供将云资源统一按项目管理、项目内的资源管理或成员管理。开启企业项目的具体操作请参考创建企业项目。- 如果您没有开通企业项目管理服务,请跳到下一项。
- 如果您开通了企业项目管理服务,在本案例中,企业项目选择“default”即可。
default
应用到我的组织
云审计服务支持组织云服务的多账号关系的管理能力,开启“应用到我的组织”后,可以实现以下能力,具体操作请参考组织追踪器。
- 使用组织管理员账号,在组织云服务中启用云审计可信服务并设置委托管理员账号。
- 使用委托管理员账号,在云审计服务中配置组织追踪器,配置完成后,委托管理员账号就可以实现安全审计等云审计能力。
不开启开关
事件操作类型
勾选“排除KMS事件”后,追踪器将不会转储您对数据加密服务(DEW)的相关操作。
数据加密服务(DEW)的相关审计操作请参考数据加密服务相关的操作事件。
不勾选“排除KMS事件”
- 在配置转储页面,按照如下参数进行设置,设置完成后,单击“下一步 > 配置”,配置追踪器完成后,系统立即以新的规则开始记录操作。
图3 配置转储
表2 设置基本信息 参数
参数说明
本案例示例
转储到OBS
云审计服务记录了租户对云服务资源新建、修改、删除等操作的详细信息,记录的事件信息会在云审计中保存7天。如果需要将操作记录保存7天以上,则需要配置事件转储至OBS功能,云审计服务会定期将操作记录同步保存到用户定义的OBS桶中进行长期保存。
开启“转储到OBS”功能后,您就能将审计日志周期性的转储至对象存储服务下的OBS桶。
开启开关
创建云服务委托
用户开启“转储到OBS”功能后,必须勾选“创建云服务委托”,云审计服务将会自动创建一个云服务委托cts_admin_trust,委托授权您使用对象存储服务(OBS)。
勾选“创建云服务委托”
OBS桶所属用户
您可以将事件转储至当前用户或其他用户的OBS桶中,方便统一管理。
- 选择当前用户:无需授予转储权限。
- 选择其他用户:转储前需要OBS桶所属用户已经对您当前用户授予转储权限,否则会造成转储失败。授予转储权限的方法请参考跨租户转储授权。
选择“当前用户”
选择OBS
您可以选择新建OBS桶或选择已有OBS桶,若所选的OBS桶的区域与当前所在区域不同,则不支持创建新的OBS桶,只能选择已有OBS桶。
- 新建OBS桶:在您填写一个桶名后系统将自动为您创建一个OBS桶。
- 选择已有OBS桶:需要您选择一个已有的OBS桶。
选择“新建OBS桶”
OBS桶名称
OBS桶名称不能为空,仅支持小写字母、数字、“-”和“.”,且长度范围为3-63个字符。禁止两个“.”相邻(如“my..bucket”),禁止“.”和“-”相邻(如“my-.bucket”和“my.-bucket”),禁止使用ip为桶名称。
system-bucket-01
保存周期
不同类型、不同级别的合规认证标准对审计日志的保存时间有不同的要求,当您配置管理类事件追踪器时,保存周期默认“沿用OBS配置”,不支持修改。
沿用OBS配置
事件文件名前缀
事件文件名前缀用于标识被转储的事件文件,该字段支持用户自定义,会自动添加在转储事件文件的文件名前端,方便用户快速进行筛选。事件文件名前缀只能由英文字母、数字、下划线(_)、中划线(-)和小数点(.)组成,且长度范围为0-64个字符。
事件文件命名格式:
操作事件文件前缀_CloudTrace_区域标示/区域标示-项目标示_日志文件上传至OBS的时间标示:年-月-日T时-分-秒Z_系统随机生成字符.json.gz
例如:FilePrefix_CloudTrace_region-project_2016-05-30T16-20-56Z_21d36ced8c8af71e.json.gz
FilePrefix
文件校验
开启“文件校验”开关,即可启用事件文件完整性校验功能,云审计服务会在每个小时将上一个小时内所有事件文件的哈希值生成一个摘要文件,并将该摘要文件同步存储至当前追踪器配置的OBS桶中,您可以使用这些文件实现自己的校验解决方案。
事件文件完整性校验详细操作请参考事件文件完整性校验。
有关摘要文件的更多信息,请参阅摘要文件。
不开启开关
加密事件文件
云审计支持对事件文件加密存储,在转储过程中需使用数据加密服务(简称DEW)中的密钥对存储在OBS桶中的事件文件进行加密。
当OBS所属用户选择“当前用户”时,开启“加密事件文件”开关,云审计会从DEW获取当前用户的秘钥ID,在下拉选项可以直接选择秘钥。
不开启开关
在OBS桶中查看历史事件记录
您已经配置了system追踪器将事件转储至OBS桶,系统立即以新的规则开始记录操作,您现在可以在OBS桶中下载并查看历史事件文件。
- 在追踪器页面,system追踪器的“存储服务”一栏,会显示您在配置转储时设置的OBS桶“system-bucket-01”,单击OBS桶名称,页面跳转到对象存储服务控制台上“system-bucket-01”桶的管理界面。
图4 单击OBS桶名称
- 在“system-bucket-01”桶的管理界面左侧的导航栏,单击“对象”。
- 在对象页面,请您需要按照事件文件存储路径依次点开文件夹。
在本案例中,请您依次点开“CloudTraces > cn-north-4 > 2024 > x月 > x日 > system > OBS”。在本案例中,x月x日是您新建OBS桶“system-bucket-01”的日期。
事件文件存储路径格式:OBS桶名>CloudTraces>地区标示>时间标示:年>时间标示:月>时间标示:日>追踪器名称 >服务类型目录
图5 事件文件存储路径
- 在本案例中,请您找到“最后修改时间”最早的文件,单击右侧的“下载”,文件将下载到浏览器默认下载路径。如需将事件文件保存到自定义路径下,请单击右侧的“更多 > 下载为”。
- 事件文件命名格式:操作事件文件前缀_CloudTrace_区域标示/区域标示-项目标示_日志文件上传至OBS的时间标示:年-月-日T时-分-秒Z_系统随机生成字符.json.gz
例如:FilePrefix_CloudTrace_cn-north-4_2024-08-13T07-23-42Z_eaac2d5c641fe022.json.gz
- OBS桶名和事件前缀为用户设置,其余参数均为系统自动生成。
- 下载将产生请求费用和流量费用。
- 事件文件命名格式:操作事件文件前缀_CloudTrace_区域标示/区域标示-项目标示_日志文件上传至OBS的时间标示:年-月-日T时-分-秒Z_系统随机生成字符.json.gz
- 文件下载到本地后,通过解压可以得到与压缩包同名的json文件,通过记事本等txt文档编辑软件即可查看历史操作事件日志信息。