文档首页/ 云审计服务 CTS/ 快速入门/ 配置云审计事件转储至LTS并查看
更新时间:2024-12-19 GMT+08:00
分享

配置云审计事件转储至LTS并查看

云审计服务记录了租户对云服务资源新建、修改、删除等操作的详细信息,控制台事件列表中会保存最近7天的操作记录。如果需要将操作记录保存7天以上,则需要配置事件转储至LTS功能,云审计服务会定期将操作记录同步保存到用户定义的LTS日志流中进行长期保存。

本文将为您介绍云审计服务(CTS)配置事件转储至OBS的操作流程,并指导您在OBS桶中查看历史事件记录,帮助您快速上手云审计服务。

  1. 准备工作

    在配置事件转储至LTS之前,您需要完成注册华为云并实名认证、为账户充值、为用户添加操作权限的准备工作。

  2. 配置事件转储至LTS

    在管理类事件追踪器配置页面,开启“转储到LTS”功能后,您就能将审计日志周期性的转储至云日志服务下的LTS日志流。

  3. 在LTS日志流中查看历史事件记录

    在云日志服务的LTS日志流中,您可以查看已保存至LTS日志流中的历史操作记录。

使用限制

全局级服务需要在中心region(北京四)的云审计控制台配置追踪器,才能使用审计事件转储至LTS功能。全局级服务在其他region的云审计控制台配置时,上述功能不会生效。

您可以在约束与限制中,查阅目前华为云的全局级服务信息。

准备工作

  1. 注册华为云并实名认证

    如果您已有一个华为账户,请跳到下一个任务。如果您还没有华为账户,请参考以下步骤创建。

    1. 打开华为云官网,单击“注册”。
    2. 根据提示信息完成注册,详细操作请参见如何注册华为云管理控制台的用户?

      注册成功后,系统会自动跳转至您的个人信息界面。

    3. 参考实名认证完成个人或企业账号实名认证。
  2. 为账户充值。

    日志转储到LTS功能会产生额外费用,您需要确保账户有足够金额。

  3. 为用户添加操作权限

    如果您是以主账号登录华为云,请跳到下一个任务。

    如果您是以IAM用户登录华为云,需要联系CTS管理员(主账号或admin用户组中的用户)对IAM用户授予CTS FullAccess权限。授权方法请参见给IAM用户授权

  4. 在云日志服务控制台配置云审计服务CTS接入LTS
    如果您是第一次使用云审计日志转储到LTS功能,您需要先在云日志服务中配置CTS接入LTS,请参考以下步骤配置。
    1. 进入云日志服务页面
    2. 在左侧导航栏中,选择“日志接入”,单击“云审计 CTS”进行CTS接入配置。
    3. 在配置页面,“所选日志组”和“所选日志流”保持默认,单击“下一步:CTS配置”>“下一步:日志流配置”>“提交”。

配置事件转储至LTS

  1. 进入云审计服务页面
  2. 在“区域”下拉列表中,选择靠近您应用程序的区域,可降低网络延时、提高访问速度。

    在本案例中,选择“华北-北京四”区域。

  3. 在左侧导航栏,单击“追踪器”,进入追踪器页面。
  4. 在system追踪器右侧的操作栏,单击“配置”。

    图1 配置system追踪器

  5. 在基本信息页面,按照如下参数进行设置,设置完成后,单击“下一步 ”。

    图2 设置基本信息

    表1 设置基本信息

    参数

    参数说明

    本案例示例

    追踪器名称

    管理类事件追踪器的名称默认为“system”,不可修改。

    system

    企业项目

    企业项目是一种云资源管理方式,由企业项目管理服务提供将云资源统一按项目管理、项目内的资源管理或成员管理。开启企业项目的具体操作请参考创建企业项目
    • 如果您没有开通企业项目管理服务,请跳到下一项。
    • 如果您开通了企业项目管理服务,在本案例中,企业项目选择“default”即可。

    default

    应用到我的组织

    云审计服务支持组织云服务的多账号关系的管理能力,开启“应用到我的组织”后,可以实现以下能力,具体操作请参考组织追踪器

    1. 使用组织管理员账号,在组织云服务中启用云审计可信服务并设置委托管理员账号。
    2. 使用委托管理员账号,在云审计服务中配置组织追踪器,配置完成后,委托管理员账号就可以实现安全审计等云审计能力。

    不开启开关

    事件操作类型

    勾选“排除KMS事件”后,追踪器将不会转储您对数据加密服务(DEW)的相关操作。

    数据加密服务(DEW)的相关审计操作请参考数据加密服务相关的操作事件

    不勾选“排除KMS事件”

  6. 在配置转储页面,按照如下参数进行设置,设置完成后,单击“下一步 > 配置”,配置追踪器完成后,系统立即以新的规则开始记录操作。

    图3 配置转储

    表2 设置基本信息

    参数

    参数说明

    本案例示例

    转储到LTS

    云审计服务记录了租户对云服务资源新建、修改、删除等操作的详细信息,控制台事件列表中会保存最近7天的操作记录。如果需要将操作记录保存7天以上,则需要配置事件转储至LTS功能,云审计服务会定期将操作记录同步保存到用户定义的LTS日志流中进行长期保存。

    开启“转储到LTS”功能后,您就能将审计日志周期性的转储至云日志服务下的LTS日志流。

    开启开关

    日志组名称

    日志组名称默认为“CTS”,不支持修改。操作事件将转储到“CTS/system-trace”日志流中。

    CTS

在LTS日志流中查看历史事件记录

您已经配置了system追踪器将事件转储至LTS日志流,系统立即以新的规则开始记录操作,您现在可以在LTS日志流中查看历史事件文件。

在您没有配置转储前,云审计控制台对用户的操作事件日志保留7天,过期自动删除,在配置转储后也无法查看。

  1. 在追踪器页面,system追踪器的“存储服务”一栏,会显示您在配置转储时设置的LTS日志流“CTS/system-trace”,单击日志流名称,页面跳转到云日志服务控制台上“CTS/system-trace”日志流界面。

    图4 单击日志流名称

  2. 在“CTS/system-trace”日志流界面,您可以查看历史操作事件日志信息。

    关于云审计服务事件结构的关键字段详解,请参见事件结构事件样例

    图5 system-trace日志流页面

  3. 单击按钮,您可以下载日志文件到本地。

    LTS单次下载支持最大5,000条日志。若所选日志超过5000条,不可使用LTS本地下载功能,请选择OBS转储下载。

相关文档