使用CTS审计OBS操作事件
云审计服务(Cloud Trace Service,简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。
用户开通云审计服务并创建和配置追踪器后,CTS可记录OBS的管理事件和数据事件用于审计。
CTS的详细介绍和开通配置方法,请参见CTS快速入门。
CTS支持追踪的OBS管理事件和数据事件列表,请参见审计。
操作步骤
使用CTS审计OBS管理类事件
用户登录CTS控制台并开通CTS服务后,系统会自动创建一个名为System的管理类事件追踪器。管理类事件追踪器会自动识别并关联当前用户所使用的所有云服务,并将当前用户的所有管理类操作记录在该追踪器中。CTS支持的OBS管理类事件请参见表1。如果用户需要对已记录的OBS管理类事件发送到OBS存储桶保存,可配置追踪器转储至OBS桶,相关操作请参见配置追踪器。
CTS默认不记录OBS管理类只读事件,如果需要记录此类事件,请到CTS配置中心开启OBS服务的只读事件上报开关,相关操作请参见开启部分云服务的查询类事件上报到云审计。
使用CTS审计OBS数据类事件
CTS的数据类事件追踪器可记录用户对OBS的数据操作。用户创建数据类追踪器后,通过配置追踪器将数据类型事件产生的事件日志转储到指定的OBS存储桶,可供用户对记录进行统一的分析与审计。
| 追踪器类型 | 操作名称 | 资源类型 | 事件名称 | 是否默认记录 |
|---|---|---|---|---|
| 管理类事件 | 创建桶 | 桶 | createBucket | 是 |
| 管理类事件 | 删除桶 | 桶 | deleteBucket | 是 |
| 管理类事件 | 列举桶 | 桶 | listAllMyBuckets (使用控制台列举桶,事件会记录在华北-北京一) | 否 |
| 管理类事件 | 获取桶元数据 | 桶 | headBucket | 否 |
| 管理类事件 | 获取桶位置信息 | 桶 | getBucketLocation | 否 |
| 管理类事件 | 列出桶内对象 | 桶 | listObjects | 否 |
| 管理类事件 | 列举桶中已初始化多段任务 | 桶 | listMultipartUploads | 否 |
| 管理类事件 | 获取桶存量信息 | 桶 | getBucketStorageInfo | 否 |
| 管理类事件 | 设置桶的跨资源共享(CORS)规则 | 桶 | setBucketCors | 是 |
| 管理类事件 | 获取桶的跨资源共享(CORS)配置 | 桶 | getBucketCors | 否 |
| 管理类事件 | 删除桶的跨资源共享(CORS)配置 | 桶 | deleteBucketCors | 是 |
| 管理类事件 | 设置桶的自定义域名 | 桶 | setBucketCustomdomain | 是 |
| 管理类事件 | 获取桶的自定义域名 | 桶 | getBucketCustomdomain | 否 |
| 管理类事件 | 删除桶的自定义域名配置 | 桶 | deleteBucketCustomdomain | 是 |
| 管理类事件 | 设置桶的生命周期 | 桶 | setBucketLifecycle | 是 |
| 管理类事件 | 获取桶的生命周期配置 | 桶 | getBucketLifecycle | 否 |
| 管理类事件 | 删除桶的生命周期配置 | 桶 | deleteBucketLifecycle | 是 |
| 管理类事件 | 设置桶的跨区域复制 | 桶 | setBucketReplication | 是 |
| 管理类事件 | 获取桶的跨区域复制配置 | 桶 | getBucketReplication | 否 |
| 管理类事件 | 删除桶的跨区域复制配置 | 桶 | deleteBucketReplication | 是 |
| 管理类事件 | 设置桶的标签 | 桶 | setBucketTagging | 是 |
| 管理类事件 | 获取桶的标签 | 桶 | getBucketTagging | 否 |
| 管理类事件 | 删除桶的标签配置 | 桶 | deleteBucketTagging | 是 |
| 管理类事件 | 设置桶的静态网站配置 | 桶 | setBucketWebsite | 是 |
| 管理类事件 | 获取桶的静态网站配置 | 桶 | getBucketWebsite | 否 |
| 管理类事件 | 删除桶的静态网站配置 | 桶 | deleteBucketWebsite | 是 |
| 管理类事件 | 设置桶策略 | 桶 | setBucketPolicy | 是 |
| 管理类事件 | 删除桶策略 | 桶 | deleteBucketPolicy | 是 |
| 管理类事件 | 设置桶ACL | 桶 | setBucketAcl | 是 |
| 管理类事件 | 获取桶ACL | 桶 | getBucketAcl | 否 |
| 管理类事件 | 设置桶日志配置 | 桶 | setBucketLogging | 是 |
| 管理类事件 | 获取桶日志配置 | 桶 | getBucketLogging | 否 |
| 管理类事件 | 设置桶的消息通知配置 | 桶 | setBucketNotification | 是 |
| 管理类事件 | 获取桶的消息通知配置 | 桶 | getBucketNotification | 否 |
| 管理类事件 | 设置桶配额 | 桶 | setBucketQuota | 是 |
| 管理类事件 | 获取桶配额 | 桶 | getBucketQuota | 否 |
| 管理类事件 | 设置桶存储类别 | 桶 | setBucketStorageclass | 是 |
| 管理类事件 | 获取桶存储类型 | 桶 | getBucketStorageclass | 否 |
| 管理类事件 | 设置桶的多版本状态 | 桶 | setBucketVersioning | 是 |
| 管理类事件 | 获取桶的多版本状态 | 桶 | getBucketVersioning | 否 |
| 管理类事件 | 设置桶的服务端加密配置 | 桶 | setBucketEncryption | 是 |
| 管理类事件 | 获取桶的服务端加密配置 | 桶 | getBucketEncryption | 否 |
| 管理类事件 | 删除桶服务端加密配置 | 桶 | deleteBucketEncryption | 是 |
| 管理类事件 | 获取桶级阻止公共访问配置 | 桶 | getBucketPublicAccessBlock | 否 |
| 管理类事件 | 设置桶级阻止公共访问配置 | 桶 | putBucketPublicAccessBlock | 是 |
| 管理类事件 | 删除桶级阻止公共访问配置 | 桶 | deleteBucketPublicAccessBlock | 是 |
| 管理类事件 | 获取桶策略公共状态 | 桶 | getBucketPolicyPublicStatus | 否 |
| 管理类事件 | 获取桶公共状态 | 桶 | getBucketPublicStatus | 否 |
| 管理类事件 | 设置桶清单配置 | 桶 | setBucketInventoryConfiguration | 是 |
| 管理类事件 | 获取桶清单配置 | 桶 | getBucketInventoryConfiguration | 否 |
| 管理类事件 | 删除桶清单配置 | 桶 | deleteBucketInventoryConfiguration | 是 |
| 管理类事件 | 设置桶对象直读策略 | 桶 | setBucketDirectColdAccess | 是 |
| 管理类事件 | 获取桶归档数据直读策略 | 桶 | getBucketDirectColdAccess | 否 |
| 管理类事件 | 删除桶归档数据直读策略 | 桶 | deleteBucketDirectColdAccess | 是 |
| 管理类事件 | 设置镜像回源规则 | 桶 | setBucketBackToSource | 是 |
| 管理类事件 | 获取镜像回源规则 | 桶 | getBucketBackToSource | 否 |
| 管理类事件 | 删除镜像回源规则 | 桶 | deleteBucketBackToSource | 是 |
| 管理类事件 | 设置桶级默认WORM策略 | 桶 | setBucketObjectLockConfiguration | 是 |
| 管理类事件 | 获取桶级默认WORM策略 | 桶 | getBucketObjectLockConfiguration | 否 |
| 管理类事件 | OPTIONS桶 | 桶 | optionsBucket | 否 |
| 管理类事件 | 配置桶触发器 | 桶 | putTriggerPolicy | 是 |
| 管理类事件 | 删除桶触发器 | 桶 | deleteTriggerPolicy | 是 |
| 管理类事件 | 创建工作流模板 | 桶 | createWorkflowTemplate | 是 |
| 管理类事件 | 删除工作流模板 | 桶 | deleteWorkflowTemplate | 是 |
| 管理类事件 | 创建工作流 | 桶 | createWorkflow | 是 |
| 管理类事件 | 删除工作流 | 桶 | deleteWorkflow | 是 |
| 管理类事件 | 更新工作流 | 桶 | updateWorkflow | 是 |
| 管理类事件 | 直接创建工作流 | 桶 | directCreateWorkflow | 是 |
| 管理类事件 | 开通工作流授权 | 桶 | openWorkflowAuthorization | 是 |
| 管理类事件 | 恢复失败状态的工作流实例 | 桶 | restoreFailedWorkflowExecution | 是 |
| 管理类事件 | API触发启动工作流 | 桶 | asyncAPIStartWorkflow | 是 |
| 管理类事件 | 创建公共Action模板 | 桶 | createMyActionTemplate | 是 |
| 管理类事件 | 修改提交的公共Action模板 | 桶 | updateMyActionTemplate | 是 |
| 管理类事件 | 删除提交的公共Action模板 | 桶 | deleteMyActionTemplate | 是 |
| 管理类事件 | 禁用提交的公共Action模板 | 桶 | forbidMyActionTemplate | 是 |
| 管理类事件 | 同意服务协议 | 桶 | openWorkflowAgreements | 是 |
| 追踪器类型 | 操作名称 | 资源类型 | 事件名称 |
|---|---|---|---|
| 数据事件_读操作 | 下载对象 | 对象 | GET.OBJECT |
| 数据事件_读操作 | 查询对象ACL配置 | 对象 | GET.OBJECT.ACL |
| 数据事件_读操作 | 查询桶website配置 | 对象 | GET.OBJECT.WEBSITE |
| 数据事件_读操作 | 通过website方式访问对象 | 对象 | HEAD.OBJECT.WEBSITE |
| 数据事件_读操作 | 查询对象元数据 | 对象 | HEAD.OBJECT |
| 数据事件_读操作 | 列举段数据 | 对象 | LIST.OBJECT.UPLOAD |
| 数据事件_写操作 | 删除对象 | 对象 | DELETE.OBJECT |
| 数据事件_写操作 | 取消段 | 对象 | DELETE.UPLOAD |
| 数据事件_写操作 | 查询对象的跨域请求 | 对象 | OPTIONS.OBJECT |
| 数据事件_写操作 | 上传对象 | 对象 | POST.OBJECT |
| 数据事件_写操作 | 批量删除对象 | 对象 | POST.OBJECT.MULTIDELETE |
| 数据事件_写操作 | 归档对象恢复 | 对象 | POST.OBJECT.RESTORE |
| 数据事件_写操作 | 合并段 | 对象 | POST.UPLOAD.COMPLETE |
| 数据事件_写操作 | 初始化段 | 对象 | POST.UPLOAD.INIT |
| 数据事件_写操作 | 上传对象 | 对象 | PUT.OBJECT |
| 数据事件_写操作 | 设置对象的ACL | 对象 | PUT.OBJECT.ACL |
| 数据事件_写操作 | 拷贝对象 | 对象 | PUT.OBJECT.COPY |
| 数据事件_写操作 | 设置对象的存储类别 | 对象 | PUT.OBJECT.STORAGECLASS |
| 数据事件_写操作 | 上传段 | 对象 | PUT.PART |
| 数据事件_写操作 | 拷贝段 | 对象 | PUT.PART.COPY |
后续操作
在追踪器信息右侧,单击操作下的“停用”可以停用追踪器。追踪器停用成功后,系统将不再记录新的操作,但是您依旧可以查看已有的操作记录。
在追踪器信息右侧,单击操作下的“删除”可以删除追踪器。删除追踪器对已有的操作记录没有影响,当您重新开通云审计服务后,依旧可以查看已有的操作记录。
相关文档
CTS支持追踪OBS管理事件和数据事件,用户可通过CTS的查询事件列表接口查看相关操作记录,该接口详细信息请参见查询事件列表接口说明。
