- 最新动态
- 功能总览
- 产品介绍
- 快速入门
- 用户指南
- 最佳实践
- API参考
- SDK参考
- 场景代码示例
-
常见问题
- 使用IAM用户(子账号)在CTS配置转储,操作OBS桶也必须是IAM用户么?
- 事件列表用于记录哪些信息?
- 用户公有云账户欠费给云审计服务带来的影响?
- 哪些用户应该开通云审计服务?
- 如果用户已开通云审计服务,但OBS桶未配置正确的策略,会出现什么情况?
- 云审计服务是否支持事件文件的完整性校验?
- 为什么查看事件窗口中的有些事件的字段为空?
- 为什么事件列表中的某些操作被记录了两次?
- 为什么在事件列表中按照操作用户进行筛选时,存在user_name和op_service用户?
- 关键操作通知服务支持哪些服务?
- CTS如何长期保存事件文件——转储至OBS桶
- 为什么有些trace_type为systemAction的事件,存在user和source_ip为空的情况?
- 事件级别中的三个字段分别代表什么?
- 如何通过云审计服务确认ECS的创建用户
- 如何查询IAM用户登录的IP地址
- cts_admin_trust委托被误删除怎么办?
- 为什么按需和包周期创建虚拟机的时候会有两个deleteMetadata事件?
- 如果账号被冻结、解除冻结、受限或解除受限,导致访问CTS前台提示系统繁忙,如何处理?
- 如何删除cts_admin_trust委托中Tenant Administrator的权限?
- 查询不到事件怎么办?
- 云审计功能申请打开之后是否可以自助关闭?
- 如何配置CTS审计日志存储180天?
- 在CTS控制台无法创建追踪器
- 使用IAM用户无法开通CTS怎么办?
- 如何给云硬盘添加告警通知?
- 可以接收重复的事件吗?
- 跨租户密钥授权OBS桶转储失败怎么办?
- cts_admin_trust委托是否包含OBS授权?
- CTS会记录云服务器创建失败的事件吗?
- 视频帮助
- 文档下载
- 通用参考
链接复制成功!
配置云审计事件转储至LTS并查看
云审计服务记录了租户对云服务资源新建、修改、删除等操作的详细信息,控制台事件列表中会保存最近7天的操作记录。如果需要将操作记录保存7天以上,则需要配置事件转储至LTS功能,云审计服务会定期将操作记录同步保存到用户定义的LTS日志流中进行长期保存。
本文将为您介绍云审计服务(CTS)配置事件转储至OBS的操作流程,并指导您在OBS桶中查看历史事件记录,帮助您快速上手云审计服务。
- 准备工作
在配置事件转储至LTS之前,您需要完成注册华为云并实名认证、为账户充值、为用户添加操作权限的准备工作。
- 配置事件转储至LTS
在管理类事件追踪器配置页面,开启“转储到LTS”功能后,您就能将审计日志周期性的转储至云日志服务下的LTS日志流。
- 在LTS日志流中查看历史事件记录
在云日志服务的LTS日志流中,您可以查看已保存至LTS日志流中的历史操作记录。
使用限制
- 全局级服务需要在中心region(北京四)的云审计控制台配置追踪器,才能使用审计事件转储至LTS功能。全局级服务在其他region的云审计控制台配置时,上述功能不会生效。
您可以在约束与限制中,查阅目前华为云的全局级服务信息。
- 在您没有配置转储前,云审计控制台对用户的操作事件日志保留7天,过期自动删除,在配置转储后也无法查看。
- LTS单次下载支持最大5,000条日志。若所选日志超过5000条,不可使用LTS本地下载功能,请选择OBS转储下载。
准备工作
- 注册华为云并实名认证。
如果您已有一个华为账户,请跳到下一个任务。如果您还没有华为账户,请参考以下步骤创建。
- 打开华为云官网,单击“注册”。
- 根据提示信息完成注册,详细操作请参见如何注册华为云管理控制台的用户?。
注册成功后,系统会自动跳转至您的个人信息界面。
- 参考实名认证完成个人或企业账号实名认证。
- 为账户充值。
日志转储到LTS功能会产生额外费用,您需要确保账户有足够金额。
- 为用户添加操作权限。
如果您是以主账号登录华为云,请跳到下一个任务。
如果您是以IAM用户登录华为云,需要联系CTS管理员(主账号或admin用户组中的用户)对IAM用户授予CTS FullAccess权限。授权方法请参见给IAM用户授权。
- 在云日志服务控制台配置云审计服务CTS接入LTS
如果您是第一次使用云审计日志转储到LTS功能,您需要先在云日志服务中配置CTS接入LTS,请参考以下步骤配置。
- 进入云日志服务页面。
- 在左侧导航栏中,选择“日志接入”,单击“云审计 CTS”进行CTS接入配置。
- 在配置页面,“所选日志组”和“所选日志流”保持默认,单击“下一步:CTS配置”>“下一步:日志流配置”>“提交”。
配置事件转储至LTS
- 进入云审计服务页面。
- 在“区域”下拉列表中,选择靠近您应用程序的区域,可降低网络延时、提高访问速度。
在本案例中,选择“华北-北京四”区域。
- 在左侧导航栏,单击“追踪器”,进入追踪器页面。
- 在system追踪器右侧的操作栏,单击“配置”。
图1 配置system追踪器
- 在基本信息页面,按照如下参数进行设置,设置完成后,单击“下一步 ”。
图2 设置基本信息
表1 设置基本信息 参数
参数说明
本案例示例
追踪器名称
管理类事件追踪器的名称默认为“system”,不可修改。
system
企业项目
企业项目是一种云资源管理方式,由企业项目管理服务提供将云资源统一按项目管理、项目内的资源管理或成员管理。开启企业项目的具体操作请参考创建企业项目。- 如果您没有开通企业项目管理服务,请跳到下一项。
- 如果您开通了企业项目管理服务,在本案例中,企业项目选择“default”即可。
default
应用到我的组织
云审计服务支持组织云服务的多账号关系的管理能力,开启“应用到我的组织”后,可以实现以下能力,具体操作请参考组织追踪器。
- 使用组织管理员账号,在组织云服务中启用云审计可信服务并设置委托管理员账号。
- 使用委托管理员账号,在云审计服务中配置组织追踪器,配置完成后,委托管理员账号就可以实现安全审计等云审计能力。
不开启开关
事件操作类型
勾选“排除DEW事件”后,追踪器将不会转储您对数据加密服务(DEW)的相关操作。
数据加密服务(DEW)的相关审计操作请参考数据加密服务相关的操作事件。
不勾选“排除DEW事件”
- 在配置转储页面,按照如下参数进行设置,设置完成后,单击“下一步 > 配置”,配置追踪器完成后,系统立即以新的规则开始记录操作。
图3 配置转储
表2 设置基本信息 参数
参数说明
本案例示例
转储到LTS
云审计服务记录了租户对云服务资源新建、修改、删除等操作的详细信息,控制台事件列表中会保存最近7天的操作记录。如果需要将操作记录保存7天以上,则需要配置事件转储至LTS功能,云审计服务会定期将操作记录同步保存到用户定义的LTS日志流中进行长期保存。
开启“转储到LTS”功能后,您就能将审计日志周期性的转储至云日志服务下的LTS日志流。
开启开关
日志组名称
日志组名称默认为“CTS”,不支持修改。操作事件将转储到“CTS/system-trace”日志流中。
CTS