文档首页/ 云审计服务 CTS/ 用户指南/ 配置特定云服务的查询类事件上报到云审计
更新时间:2025-08-20 GMT+08:00
分享

配置特定云服务的查询类事件上报到云审计

场景描述

开通云审计服务后,用户可以在云审计控制台查看云服务上报的事件。事件即云审计服务追踪并保存的云服务资源的操作日志,操作包括用户对云服务资源新增、修改、删除、查询操作。

查询类操作的频率通常远高于增删改类操作,例如用户可能在一天内多次查询云服务器列表、监控指标或日志,但创建/删除服务器的操作可能仅几次。若大量记录查询类操作,会导致审计日志数据量过多,不利于用户查看审计日志,因此云审计服务默认关闭云服务的查询类事件上报到云审计。

若用户需要特定云服务上报查询类操作,可通过云审计配置中心来配置查询类事件上报规则,实现特定云服务的查询类操作上报到云审计。

什么是查询类事件

用户对云服务资源查询操作会上报为查询类事件。在云审计服务的事件详情中,read_only参数表示该事件是否为查询类事件:

  • read_only的参数值为“true”时,表示该事件是查询类事件;
  • read_only的参数值为“false”时,表示该事件不是查询类事件。

配置中心的云服务的含义

在配置中心页面,云服务表示的是对接了云审计的云服务上报的service_type参数值。

约束与限制

全局级服务需要在中心region(华北-北京四)的云审计控制台配置查询类事件上报规则。全局级服务在其他region的云审计控制台配置时不会生效。您可以在约束与限制中,查阅目前华为云的全局级服务信息。

前提条件

已开通云审计服务。具体操作,请参见开通云审计服务

开启部分云服务的查询类事件上报到云审计

  1. 登录CTS控制台
  2. 单击左侧导航栏的“配置中心”。
  3. 在“开启只读事件的云服务”选项中,选择“部分开启”。
  4. 单击云服务右侧的按钮后,该云服务的查询类事件会上报到云审计。
  5. (可选)当您需要开启多个云服务的查询类事件上报到云审计时,您可以勾选多个云服务,单击“批量开启”后,选中的云服务的查询类事件都会上报到云审计。

    图1 批量开启

开启全部云服务的查询类事件上报到云审计

  1. 登录CTS控制台
  2. 单击左侧导航栏的“配置中心”。
  3. 在“开启只读事件的云服务”选项中,选择“全部开启”。
  4. 单击“确认”后,全部云服务的查询类事件会上报到云审计。

相关文档