更新时间:2024-08-29 GMT+08:00

入门指引

操作场景

用户首次进入云审计服务时,在追踪器页面单击“开通云审计服务”,系统会自动为您创建一个名为system的管理追踪器,之后您也可以在追踪器页面创建多个数据追踪器。管理追踪器会自动识别并关联当前租户所使用的所有云服务,并将当前租户的所有操作记录在该追踪器中。数据追踪器会记录租户对OBS桶中的数据操作的详细信息。

用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录,需要将事件文件保存至对象存储服务中的存储对象的容器,即OBS桶,也可以保存至LTS日志流。开通云审计服务之前,需要开通对象存储服务和云日志服务,且用户对即将要使用的OBS桶和LTS日志流具有完全的使用权限。云服务平台默认仅开通OBS的服务所有者能够访问OBS桶及其包含的所有对象,但服务所有者可以通过编写访问策略来向其他服务和用户授予访问权。

前提条件

  • 配置事件转储功能,需要开通对象存储服务(OBS)和云日志服务(LTS)。
  • 启用关键操作通知功能,需要开通消息通知服务(SMN)。

关联服务

  • 对象存储服务(Object Storage Service,简称OBS):存储事件文件。

    由于云审计服务需要高频次的访问转储的OBS桶,因此必须选择使用标准存储类型的OBS桶。

  • 数据加密服务(Data Encryption Workshop,简称DEW):为事件文件加密功能提供密钥。
  • 云日志服务(Log Tank Service,简称LTS):提供日志存储功能。
  • 消息通知服务(Simple Message Notification,简称SMN):检测到关键操作时,调用消息通知服务向用户发送邮件、短信通知。

首次开通云审计服务

  1. 登录管理控制台。
  2. 如果您是以主账号登录华为云,请直接进行3;如果您是以IAM用户登录华为云,需要联系CTS管理员(主账号或admin用户组中的用户)对IAM用户授予CTS FullAccess权限。

    授权方法请参见给IAM用户授权

  3. 单击左上角,选择“管理与监管 > 云审计服务 CTS”,进入云审计服务。
  4. 在左侧导航栏选择“追踪器”,单击右上方的“开通云审计服务”按钮,系统会自动为您创建一个名为system的管理类事件追踪器。

    管理类事件追踪器记录用户对所有云服务资源的相关操作,例如创建、登录、删除等。云审计服务当前支持的云服务的详细信息,请参见支持审计的服务及操作列表

  5. 后续您创建的追踪器均为数据类事件追踪器。数据追踪器会记录租户对OBS桶中的数据操作的详细信息。
  6. 在左侧导航栏选择“事件列表”,可以查看最近7天的事件操作记录。

相关信息

云审计服务的功能主要包括:
  • 记录审计日志:支持记录用户通过管理控制台或API接口发起的操作,以及各服务内部自触发的操作。
  • 审计日志查询:支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。
  • 审计日志转储:支持将审计日志周期性的转储至对象存储服务(Object Storage Service,简称OBS)下的OBS桶,转储时会按照服务维度压缩审计日志为事件文件,或转储至云日志服务(Log Tank Service,简称LTS)下的LTS日志流。
  • 事件文件加密:支持在转储过程中使用数据加密服务(Data Encryption Workshop,简称DEW)中的密钥对事件文件进行加密。
  • 关键操作通知:支持在发生特定操作时使用消息通知服务(Simple Message Notification,简称SMN)向用户手机、邮箱发送消息。