使用CTS审计OBS操作事件
云审计服务(Cloud Trace Service,简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。
用户开通云审计服务并创建和配置追踪器后,CTS可记录OBS的管理事件和数据事件用于审计。
CTS的详细介绍和开通配置方法,请参见CTS快速入门。
CTS支持追踪的OBS管理事件和数据事件列表,请参见审计。
操作步骤
使用CTS审计OBS管理类事件
用户登录CTS控制台并开通CTS服务后,系统会自动创建一个名为System的管理类事件追踪器。管理类事件追踪器会自动识别并关联当前用户所使用的所有云服务,并将当前用户的所有管理类操作记录在该追踪器中。CTS支持的OBS管理类事件请参见表1。
- CTS默认不记录OBS管理类只读事件(包括listAllMyBuckets、headBucket、getBucketLocation、listObjects、listMultipartUploads、getBucketStorageInfo、getBucketCors、getBucketCustomdomain、getBucketLifecycle、getBucketReplication、getBucketTagging、getBucketWebsite、getBucketAcl、getBucketLogging、getBucketNotification、getBucketQuota、getBucketStorageclass、getBucketVersioning、getBucketEncryption、getBucketPublicAccessBlock、getBucketPolicyPublicStatus、getBucketPublicStatus、getBucketInventoryConfiguration、getBucketDirectColdAccess、getBucketBackToSource、getBucketObjectLockConfiguration、optionsBucket)。如果需要记录此类事件,请到CTS配置中心开启OBS服务的只读事件上报开关,相关操作请参见开启部分云服务的查询类事件上报到云审计。
- 如果用户需要对已记录的管理类事件发送到OBS存储桶保存,可配置追踪器转储至OBS桶,相关操作请参见配置追踪器。
使用CTS审计OBS数据类事件
CTS的数据类事件追踪器可记录用户对OBS的数据操作。用户创建数据类追踪器后,通过配置追踪器将数据类型事件产生的事件日志转储到指定的OBS存储桶,可供用户对记录进行统一的分析与审计。
| 追踪器类型 | 操作名称 | 资源类型 | 事件名称 |
|---|---|---|---|
| 管理类事件 | 创建桶 | 桶 | createBucket |
| 管理类事件 | 删除桶 | 桶 | deleteBucket |
| 管理类事件 | 列举桶 | 桶 | listAllMyBuckets (使用控制台列举桶,事件会记录在华北-北京一) |
| 管理类事件 | 获取桶元数据 | 桶 | headBucket |
| 管理类事件 | 获取桶位置信息 | 桶 | getBucketLocation |
| 管理类事件 | 列出桶内对象 | 桶 | listObjects |
| 管理类事件 | 列举桶中已初始化多段任务 | 桶 | listMultipartUploads |
| 管理类事件 | 获取桶存量信息 | 桶 | getBucketStorageInfo |
| 管理类事件 | 设置桶的跨资源共享(CORS)规则 | 桶 | setBucketCors |
| 管理类事件 | 获取桶的跨资源共享(CORS)配置 | 桶 | getBucketCors |
| 管理类事件 | 删除桶的跨资源共享(CORS)配置 | 桶 | deleteBucketCors |
| 管理类事件 | 设置桶的自定义域名 | 桶 | setBucketCustomdomain |
| 管理类事件 | 获取桶的自定义域名 | 桶 | getBucketCustomdomain |
| 管理类事件 | 删除桶的自定义域名配置 | 桶 | deleteBucketCustomdomain |
| 管理类事件 | 设置桶的生命周期 | 桶 | setBucketLifecycle |
| 管理类事件 | 获取桶的生命周期配置 | 桶 | getBucketLifecycle |
| 管理类事件 | 删除桶的生命周期配置 | 桶 | deleteBucketLifecycle |
| 管理类事件 | 设置桶的跨区域复制 | 桶 | setBucketReplication |
| 管理类事件 | 获取桶的跨区域复制配置 | 桶 | getBucketReplication |
| 管理类事件 | 删除桶的跨区域复制配置 | 桶 | deleteBucketReplication |
| 管理类事件 | 设置桶的标签 | 桶 | setBucketTagging |
| 管理类事件 | 获取桶的标签 | 桶 | getBucketTagging |
| 管理类事件 | 删除桶的标签配置 | 桶 | deleteBucketTagging |
| 管理类事件 | 设置桶的静态网站配置 | 桶 | setBucketWebsite |
| 管理类事件 | 获取桶的静态网站配置 | 桶 | getBucketWebsite |
| 管理类事件 | 删除桶的静态网站配置 | 桶 | deleteBucketWebsite |
| 管理类事件 | 设置桶策略 | 桶 | setBucketPolicy |
| 管理类事件 | 删除桶策略 | 桶 | deleteBucketPolicy |
| 管理类事件 | 设置桶ACL | 桶 | setBucketAcl |
| 管理类事件 | 获取桶ACL | 桶 | getBucketAcl |
| 管理类事件 | 设置桶日志配置 | 桶 | setBucketLogging |
| 管理类事件 | 获取桶日志配置 | 桶 | getBucketLogging |
| 管理类事件 | 设置桶的消息通知配置 | 桶 | setBucketNotification |
| 管理类事件 | 获取桶的消息通知配置 | 桶 | getBucketNotification |
| 管理类事件 | 设置桶配额 | 桶 | setBucketQuota |
| 管理类事件 | 获取桶配额 | 桶 | getBucketQuota |
| 管理类事件 | 设置桶存储类别 | 桶 | setBucketStorageclass |
| 管理类事件 | 获取桶存储类型 | 桶 | getBucketStorageclass |
| 管理类事件 | 设置桶的多版本状态 | 桶 | setBucketVersioning |
| 管理类事件 | 获取桶的多版本状态 | 桶 | getBucketVersioning |
| 管理类事件 | 设置桶的服务端加密配置 | 桶 | setBucketEncryption |
| 管理类事件 | 获取桶的服务端加密配置 | 桶 | getBucketEncryption |
| 管理类事件 | 删除桶服务端加密配置 | 桶 | deleteBucketEncryption |
| 管理类事件 | 获取桶级阻止公共访问配置 | 桶 | getBucketPublicAccessBlock |
| 管理类事件 | 设置桶级阻止公共访问配置 | 桶 | putBucketPublicAccessBlock |
| 管理类事件 | 删除桶级阻止公共访问配置 | 桶 | deleteBucketPublicAccessBlock |
| 管理类事件 | 获取桶策略公共状态 | 桶 | getBucketPolicyPublicStatus |
| 管理类事件 | 获取桶公共状态 | 桶 | getBucketPublicStatus |
| 管理类事件 | 设置桶清单配置 | 桶 | setBucketInventoryConfiguration |
| 管理类事件 | 获取桶清单配置 | 桶 | getBucketInventoryConfiguration |
| 管理类事件 | 删除桶清单配置 | 桶 | deleteBucketInventoryConfiguration |
| 管理类事件 | 设置桶对象直读策略 | 桶 | setBucketDirectColdAccess |
| 管理类事件 | 获取桶归档数据直读策略 | 桶 | getBucketDirectColdAccess |
| 管理类事件 | 删除桶归档数据直读策略 | 桶 | deleteBucketDirectColdAccess |
| 管理类事件 | 设置镜像回源规则 | 桶 | setBucketBackToSource |
| 管理类事件 | 获取镜像回源规则 | 桶 | getBucketBackToSource |
| 管理类事件 | 删除镜像回源规则 | 桶 | deleteBucketBackToSource |
| 管理类事件 | 设置桶级默认WORM策略 | 桶 | setBucketObjectLockConfiguration |
| 管理类事件 | 获取桶级默认WORM策略 | 桶 | getBucketObjectLockConfiguration |
| 管理类事件 | OPTIONS桶 | 桶 | optionsBucket |
| 管理类事件 | 配置桶触发器 | 桶 | putTriggerPolicy |
| 管理类事件 | 删除桶触发器 | 桶 | deleteTriggerPolicy |
| 管理类事件 | 创建工作流模板 | 桶 | createWorkflowTemplate |
| 管理类事件 | 删除工作流模板 | 桶 | deleteWorkflowTemplate |
| 管理类事件 | 创建工作流 | 桶 | createWorkflow |
| 管理类事件 | 删除工作流 | 桶 | deleteWorkflow |
| 管理类事件 | 更新工作流 | 桶 | updateWorkflow |
| 管理类事件 | 直接创建工作流 | 桶 | directCreateWorkflow |
| 管理类事件 | 开通工作流授权 | 桶 | openWorkflowAuthorization |
| 管理类事件 | 恢复失败状态的工作流实例 | 桶 | restoreFailedWorkflowExecution |
| 管理类事件 | API触发启动工作流 | 桶 | asyncAPIStartWorkflow |
| 管理类事件 | 创建公共Action模板 | 桶 | createMyActionTemplate |
| 管理类事件 | 修改提交的公共Action模板 | 桶 | updateMyActionTemplate |
| 管理类事件 | 删除提交的公共Action模板 | 桶 | deleteMyActionTemplate |
| 管理类事件 | 禁用提交的公共Action模板 | 桶 | forbidMyActionTemplate |
| 管理类事件 | 同意服务协议 | 桶 | openWorkflowAgreements |
| 追踪器类型 | 操作名称 | 资源类型 | 事件名称 |
|---|---|---|---|
| 数据事件_读操作 | 下载对象 | 对象 | GET.OBJECT |
| 数据事件_读操作 | 查询对象ACL配置 | 对象 | GET.OBJECT.ACL |
| 数据事件_读操作 | 查询桶website配置 | 对象 | GET.OBJECT.WEBSITE |
| 数据事件_读操作 | 通过website方式访问对象 | 对象 | HEAD.OBJECT.WEBSITE |
| 数据事件_读操作 | 查询对象元数据 | 对象 | HEAD.OBJECT |
| 数据事件_读操作 | 列举段数据 | 对象 | LIST.OBJECT.UPLOAD |
| 数据事件_写操作 | 删除对象 | 对象 | DELETE.OBJECT |
| 数据事件_写操作 | 取消段 | 对象 | DELETE.UPLOAD |
| 数据事件_写操作 | 查询对象的跨域请求 | 对象 | OPTIONS.OBJECT |
| 数据事件_写操作 | 上传对象 | 对象 | POST.OBJECT |
| 数据事件_写操作 | 批量删除对象 | 对象 | POST.OBJECT.MULTIDELETE |
| 数据事件_写操作 | 归档对象恢复 | 对象 | POST.OBJECT.RESTORE |
| 数据事件_写操作 | 合并段 | 对象 | POST.UPLOAD.COMPLETE |
| 数据事件_写操作 | 初始化段 | 对象 | POST.UPLOAD.INIT |
| 数据事件_写操作 | 上传对象 | 对象 | PUT.OBJECT |
| 数据事件_写操作 | 设置对象的ACL | 对象 | PUT.OBJECT.ACL |
| 数据事件_写操作 | 拷贝对象 | 对象 | PUT.OBJECT.COPY |
| 数据事件_写操作 | 设置对象的存储类别 | 对象 | PUT.OBJECT.STORAGECLASS |
| 数据事件_写操作 | 上传段 | 对象 | PUT.PART |
| 数据事件_写操作 | 拷贝段 | 对象 | PUT.PART.COPY |
后续操作
在追踪器信息右侧,单击操作下的“停用”可以停用追踪器。追踪器停用成功后,系统将不再记录新的操作,但是您依旧可以查看已有的操作记录。
在追踪器信息右侧,单击操作下的“删除”可以删除追踪器。删除追踪器对已有的操作记录没有影响,当您重新开通云审计服务后,依旧可以查看已有的操作记录。
相关文档
CTS支持追踪OBS管理事件和数据事件,用户可通过CTS的查询事件列表接口查看相关操作记录,该接口详细信息请参见查询事件列表接口说明。
