OBS使用审计

前提条件

• 当前异常事件处理页面含有异常事件。
• 在资产中心已开启OBS审计功能。
  

  开启OBS审计后，OBS的日志记录功能进行日志的读写时将产生相应费用，费用的具体说明请参见请求费用。

• 已对OBS资产进行敏感数据识别。

操作步骤

1. 登录管理控制台。
2. 单击左上角的，选择区域或项目。
3. 在左侧导航树中，单击，选择“安全与合规 > 数据安全中心”。
4. 在左侧导航树中选择“数据安全运营 > OBS使用审计”，进入“OBS使用审计”界面，参数说明请参考表1。

   在列表的右上角，可选择“近30分钟”、“近3小时”、“近24小时”、“近7天”、“近30天”的时间周期，事件类型以及事件状态来展示您想要的异常行为事件信息。

   表1 风险行为检测参数列表

   参数名称	参数说明
   用户ID	资源所有者对应的ID。
   事件类型	DSC将异常事件分成了三种类型： 数据访问异常 敏感文件的越权操作。 敏感文件的下载操作。 数据操作异常 敏感文件的更新操作。 敏感文件的文件内容追加操作。 敏感文件的删除操作。 敏感文件的复制操作。 数据管理异常 添加桶时，检测到桶为公共读或公共读写桶。 添加桶时，检测到私有桶对匿名用户或注册用户组开通了访问/ACL访问权限。 含有敏感文件的桶出现桶策略更改、删除操作。 含有敏感文件的桶出现桶ACL更改、删除操作。 含有敏感文件的桶出现跨区域复制配置的更改、删除操作。 敏感文件的对象出现ACL更改、删除操作。
   事件名称	导致异常事件发生的具体事件。
   告警时间	异常事件发生的具体时间。
   状态	状态说明如下： “待处理”：异常事件未进行处理。 “违例确认”：已处理异常事件为违例确认。 “违例排除”：已处理异常事件为违例排除。

5. 在异常事件的操作列，单击“查看详情”，查看该事件的详细信息。
   图1 异常事件详情
   

6. 在异常事件的操作列，单击“处理”，处理该事件，处理方式如下：
   • 确认该事件为违规事件

     确认违例的事件如未被处理，数据安全中心将会一直对该事件进行异常事件告警。

   • 确认事件为正常情况，无需进行处理。

     异常事件设为违例排除后，数据安全中心将不再对该事件进行告警提示，即该事件将不会展示在异常事件列表中