更新时间:2024-08-12 GMT+08:00
安全审计
操作场景
根据云审计服务收集的日志记录,通过查询具体的、符合某一特征的记录,执行安全分析,判断用户的操作是否符合权限要求。
本章节介绍,通过云审计服务如何审计最近两周内云硬盘服务的创建和删除操作。
前提条件
已开通云审计服务且追踪器状态正常。开通云审计服务请参考章节入门指引。
在新版事件列表查看审计事件
- 以CTS管理员权限登录管理控制台。
- 在管理控制台左上角单击
图标,选择区域和项目。 - 单击左上角
,选择“管理与监管 > 云审计服务 CTS”,进入云审计服务详情页面。 - 单击左侧导航树的“事件列表”,进入事件列表界面。
- 时间范围选择“最近1周”,然后在搜索框中依次查询:
- 若要获取最近7天以前的操作记录,则需要到OBS桶或LTS日志组中查询。查询历史事件的详细操作请参照查询云审计服务转储事件。
查询超过7天的操作记录,您必须对追踪器配置转储到对象存储服务(OBS)或云日志服务(LTS),才可在OBS桶或LTS日志组里面查看历史事件。否则,您将无法追溯7天以前的操作记录。
- 在操作记录中,以createVolume和deleteVolume作为关键字检索,找到对应记录。
- 从第5步和第7步的结果中,抽取操作用户信息,甄别没有授权的操作,即用户越权操作,或不符合用户自身安全操作规范的操作。
在旧版事件列表查看审计事件
以审计最近两周内云硬盘服务的创建和删除操作为例:
- 以CTS管理员权限登录管理控制台。
- 在管理控制台左上角单击
图标,选择区域和项目。 - 单击左上角
,选择“管理与监管>云审计服务 CTS”,进入云审计服务详情页面。 - 单击左侧导航树的“事件列表”,进入事件列表界面。
- 时间范围选择“最近1周”,在事件列表界面依次选择过滤条件,“事件类型”>“事件来源”>“资源类型”>“筛选类型”,单击“查询”按钮执行搜索,查看过滤结果。
过滤条件查询示例:依次选择“管理事件”>“EVS”>“evs”>“按事件名称”>“createVolume”或“管理事件”>“EVS”>“evs”>“按事件名称”>“deleteVolume”,单击“查询”按钮执行搜索,默认查询过去1小时以内所有创建或删除EVS的操作。通过设置时间范围,最多可以查询7天以内所有创建或删除EVS的操作。
- 若要获取最近7天以前的操作记录,则需要到OBS桶或LTS日志组中查询。查询历史事件的详细操作请参照查询云审计服务转储事件。
查询超过7天的操作记录,您必须对管理类追踪器配置转储到对象存储服务(OBS)或云日志服务(LTS),才可在OBS桶或LTS日志组里面查看历史事件。否则,您将无法追溯7天以前的操作记录。
- 参照查询云审计服务转储事件下载7天之前或者所有的事件。
- 在操作记录中,以createVolume和deleteVolume作为关键字检索,找到对应记录。
- 从第5步和第8步的结果中,抽取操作用户信息,甄别没有授权的操作,即用户越权操作,或不符合用户自身安全操作规范的操作。
父主题: 云审计服务应用示例
