配置云审计事件转储至LTS并查看
云审计服务记录了租户对云服务资源新建、修改、删除等操作的详细信息,控制台事件列表中会保存最近7天的操作记录。如果需要将操作记录保存7天以上,则需要配置事件转储至LTS功能,云审计服务会定期将操作记录同步保存到用户定义的LTS日志流中进行长期保存。
本文将为您介绍云审计服务(CTS)配置事件转储至OBS的操作流程,并指导您在OBS桶中查看历史事件记录,帮助您快速上手云审计服务。
- 准备工作
在配置事件转储至LTS之前,您需要完成注册华为云并实名认证、为账户充值、为用户添加操作权限的准备工作。
- 配置事件转储至LTS
在管理类事件追踪器配置页面,开启“转储到LTS”功能后,您就能将审计日志周期性的转储至云日志服务下的LTS日志流。
- 在LTS日志流中查看历史事件记录
在云日志服务的LTS日志流中,您可以查看已保存至LTS日志流中的历史操作记录。
准备工作
- 注册华为云并实名认证。
如果您已有一个华为账户,请跳到下一个任务。如果您还没有华为账户,请参考以下步骤创建。
- 打开华为云官网,单击“注册”。
- 根据提示信息完成注册,详细操作请参见如何注册华为云管理控制台的用户?。
注册成功后,系统会自动跳转至您的个人信息界面。
- 参考实名认证完成个人或企业账号实名认证。
- 为账户充值。
日志转储到LTS功能会产生额外费用,您需要确保账户有足够金额。
- 为用户添加操作权限。
如果您是以主账号登录华为云,请跳到下一个任务。
如果您是以IAM用户登录华为云,需要联系CTS管理员(主账号或admin用户组中的用户)对IAM用户授予CTS FullAccess权限。授权方法请参见给IAM用户授权。
- 在云日志服务控制台配置云审计服务CTS接入LTS
如果您是第一次使用云审计日志转储到LTS功能,您需要先在云日志服务中配置CTS接入LTS,请参考以下步骤配置。
- 进入云日志服务页面。
- 在左侧导航栏中,选择“日志接入”,单击“云审计 CTS”进行CTS接入配置。
- 在配置页面,“所选日志组”和“所选日志流”保持默认,单击“下一步:CTS配置”>“下一步:日志流配置”>“提交”。
配置事件转储至LTS
- 进入云审计服务页面。
- 在“区域”下拉列表中,选择靠近您应用程序的区域,可降低网络延时、提高访问速度。
在本案例中,选择“华北-北京四”区域。
- 在左侧导航栏,单击“追踪器”,进入追踪器页面。
- 在system追踪器右侧的操作栏,单击“配置”。
图1 配置system追踪器
- 在基本信息页面,按照如下参数进行设置,设置完成后,单击“下一步 ”。
图2 设置基本信息
表1 设置基本信息 参数
参数说明
本案例示例
追踪器名称
管理类事件追踪器的名称默认为“system”,不可修改。
system
企业项目
企业项目是一种云资源管理方式,由企业项目管理服务提供将云资源统一按项目管理、项目内的资源管理或成员管理。开启企业项目的具体操作请参考创建企业项目。- 如果您没有开通企业项目管理服务,请跳到下一项。
- 如果您开通了企业项目管理服务,在本案例中,企业项目选择“default”即可。
default
应用到我的组织
云审计服务支持组织云服务的多账号关系的管理能力,开启“应用到我的组织”后,可以实现以下能力,具体操作请参考组织追踪器。
- 使用组织管理员账号,在组织云服务中启用云审计可信服务并设置委托管理员账号。
- 使用委托管理员账号,在云审计服务中配置组织追踪器,配置完成后,委托管理员账号就可以实现安全审计等云审计能力。
不开启开关
事件操作类型
勾选“排除KMS事件”后,追踪器将不会转储您对数据加密服务(DEW)的相关操作。
数据加密服务(DEW)的相关审计操作请参考数据加密服务相关的操作事件。
不勾选“排除KMS事件”
- 在配置转储页面,按照如下参数进行设置,设置完成后,单击“下一步 > 配置”,配置追踪器完成后,系统立即以新的规则开始记录操作。
图3 配置转储
表2 设置基本信息 参数
参数说明
本案例示例
转储到LTS
云审计服务记录了租户对云服务资源新建、修改、删除等操作的详细信息,控制台事件列表中会保存最近7天的操作记录。如果需要将操作记录保存7天以上,则需要配置事件转储至LTS功能,云审计服务会定期将操作记录同步保存到用户定义的LTS日志流中进行长期保存。
开启“转储到LTS”功能后,您就能将审计日志周期性的转储至云日志服务下的LTS日志流。
开启开关
日志组名称
日志组名称默认为“CTS”,不支持修改。操作事件将转储到“CTS/system-trace”日志流中。
CTS
