配置组织追踪器
使用委托管理员账号,在云审计服务中开启管理类追踪器的组织功能,即配置组织追踪器。
前提条件
- 当前登录用户的账号类型是委托管理员。
- 组织管理员账号在组织服务中开启了CTS可信服务。
- 建议规划用来存储审计事件的委托管理员的OBS桶。
操作步骤
- 登录管理控制台。
- 在管理控制台左上角单击图标,选择区域和项目。
- 单击左上角,选择“管理与监管 > 云审计服务 CTS”,进入云审计控制台。
- 左侧菜单选择“追踪器”,单击管理类事件追踪器右侧的“配置”按钮。如果界面未显示管理类追踪器,需要先开通云审计服务。
- 进入配置追踪器的基本信息页面,打开“应用到我的组织”开关,单击“下一步”。
- 在配置转储页面,打开转储到OBS和LTS开关,参照表1设置转储信息。其中OBS桶所属用户选择“当前用户”,配置OBS转储需要“选择已有OBS桶”,OBS选择管理员已经规划的OBS桶。配置完成后,单击“下一步 > 配置”按钮。
表1 配置转储参数列表 参数名称
参数说明
转储到OBS
当“转储到OBS”开关打开时,您可以选择已存在的OBS桶或直接通过配置页面新建OBS桶,并配置事件文件前缀。
如果“转储到OBS”开关关闭时,则无需配置相应参数。
创建云服务委托
必选,勾选创建云服务委托后,用户在创建追踪器时,云审计服务将会自动创建一个云服务委托,委托授权您使用对象存储服务(OBS)。
OBS桶所属用户
云审计服务支持用户将事件转储至其他用户的OBS桶中,方便用户统一管理。
- 选择当前用户:无需授予转储权限。
- 选择其他用户:转储前需要OBS桶所属用户已经对您当前用户授予转储权限,否则会造成转储失败。授予转储权限的方法请参考跨租户转储授权。
选择OBS
新建OBS桶:在您填写一个桶名后系统将自动为您创建一个OBS桶。
选择已有OBS桶:需要您选择一个已有的OBS桶。
OBS桶名称
当“选择OBS”选择“新建OBS桶”时,直接新建OBS桶名称。OBS桶名称不能为空,仅支持小写字母、数字、“-”和“.”,且长度范围为3-63个字符。禁止两个“.”相邻(如“my..bucket”),禁止“.”和“-”相邻(如“my-.bucket”和“my.-bucket”),禁止使用ip为桶名称。
当“选择OBS”选择“选择已有OBS桶”时,可以选择已存在的OBS桶。
保存周期
管理类事件追踪器:保存周期默认沿用在OBS的配置,不支持修改。
事件文件名前缀
用于标识被转储的事件文件,该字段支持用户自定义,会自动添加在转储事件文件的文件名前端,方便用户快速进行筛选。事件文件名前缀只能由英文字母、数字、下划线(_)、中划线(-)和小数点(.)组成,且长度范围为0-64个字符。
是否压缩
压缩后可以减少对象存储空间的使用量。- 不压缩:按照 *.json格式转储。
- gzip:按照*.json.gz格式转储。
路径按云服务划分
- “路径按云服务划分”开关打开后,转储文件路径中将增加云服务名,OBS同时出现多个小文件。例如:/CloutTrace/cn-north-7/2022/11/8/doctest/云服务/_XXX.json.gz
- “路径按云服务划分”开关关闭后,转储文件路径中不会增加云服务名。例如:/CloutTrace/cn-north-7/2022/11/8/doctest/_XXX.json.gz
日志转储路径
日志转储的路径,系统自动填写。
文件校验
可以检验转储至OBS桶的数据是否被篡改,保障事件文件的完整性。如何校验文件完整性可参考校验云审计事件文件完整性。
加密事件文件
当OBS所属用户选择“当前用户”时,可以为事件配置加密秘钥。
“加密事件文件”开关打开时,云审计会从数据加密服务(DEW)获取当前用户的秘钥ID,在下拉选项可以直接选择秘钥。
转储到LTS
当“转储到LTS”开关打开时,表示操作事件将转储到日志流中。
日志组名称
当“转储到LTS”开关打开时,日志组名称默认为“CTS”。如果“转储到LTS”开关关闭时,则无需配置该参数。
- 配置完成后5-10分钟,进入OBS控制台和LTS控制台,检查审计事件是否成功转储。