更新时间:2024-06-21 GMT+08:00
分享

查询安全组规则的变更记录

操作场景

基于云审计,系统可以记录VPC安全组规则变更的操作记录,您可以参考以下操作,查询安全组规则的变更记录,支持以下操作:
  • 查询安全组规则的新增记录
  • 查询安全组规则的修改记录
  • 查询安全组规则的删除记录

使用须知

  • 您需要开通云审计服务后,才可以通过云审计服务记录VPC安全组规则的变更操作。
  • 在云审计的操作事件列表中,记录了各种云服务的操作事件。您可以通过操作事件名称或者资源类型,并结合操作时间,精准定位到操作记录,VPC安全组规则支持的操作事件名称和资源类型如表1所示。
    表1 VPC安全组规则操作事件列表

    操作名称

    事件名称

    资源类型

    添加安全组规则

    createSecurity-group-rule

    security-group-rules

    修改安全组规则

    updateSecurity-group-rule

    security-group-rules

    删除安全组规则

    deleteSecurity-group-rule

    security-group-rules

操作步骤

以在安全组Sg-A中新增表2中的安全组规则为例,以下为您提供查看操作记录的步骤。
表2 新增安全组规则

方向

策略

类型

协议端口

源地址

修改时间

入方向

允许

IPv4

TCP: 23

10.0.0.0/16

2024/06/19 10:46:07 GMT+08:00

  1. 打开云审计控制台,通过事件名称,搜索添加安全组规则的操作事件,然后通过修改时间定位对应的记录。

    本示例中,通过“createSecurity-group-rule”搜索添加安全组规则的操作记录,查看操作事件的方法,请参见查看审计事件

    图1 事件列表(添加安全组规则)
  2. 在事件列表中,单击目标事件名称对应的超链接。

    进入事件概览页面,您可以查看本次操作的详细信息,表3中为您提供关键信息样例和说明,包含执行该操作的用户信息以及安全组规则的详情。

    表3的样例仅供参考,实际信息以您查询到的为准。

    表3 事件样例(添加安全组规则)

    回显样例

    说明

    "source_ip": "124.71.XX.146",

    执行该操作的客户端IP地址,如果为空,表示系统操作,本示例为124.71.XX.146。

      "user": {
        "access_key_id": "HSTA205XXXXXC4MHAE",
        "account_id": "3c24f6f885294XXXXX93ce075fbd",
        "user_name": "cts-test-01",
        "domain": {
          "name": "cts-test",
          "id": "3c24f6f885294XXXXX93ce075fbd"
        },
      "name": "cts-test-01",
      "principal_is_root_user": "false",
      "id": "a26ee7e7224XXXXXe4a28a9ce503",
    您可以在回显中查看执行操作的账号信息,关键参数说明如下:
    • domain下的name:账号名,本示例为cts-test。
    • domain下的id:账号ID,本示例为3c24f6f885294XXXXX93ce075fbd。
    • name:IAM用户名,本示例为cts-test-01,是账号cts-test下的一个用户。
    • id:IAM用户ID,本示例为a26ee7e7224XXXXXe4a28a9ce503。

    关于云审计事件的更多参数说明,请参见事件结构中的响应参数说明。

    "response": "{\"request_id\":\"8d2d1111cafaXXX9b49d53e2da38f\",\"security_group_rules\":[{\"id\":\"b6acda6e-0976-XXXX-82bc-a8093cbd591d\",\"project_id\":\"15289aca74eXXXa37dea0315d99\",\"security_group_id\":\"3730d371-3111-4ace-XXXX-b00b7259e178\",\"remote_group_id\":null,\"direction\":\"ingress\",\"protocol\":\"tcp\",\"description\":\"\",\"created_at\":\"2024-06-19T02:46:07Z\",\"updated_at\":\"2024-06-19T02:46:07Z\",\"ethertype\":\"IPv4\",\"remote_ip_prefix\":\"10.0.0.0/16\",\"multiport\":\"23\",\"remote_address_group_id\":null,\"action\":\"allow\",\"priority\":1}]}",
    您可以在response中查看安全组规则的详情,关键参数说明如下:
    • direction:安全组规则的方向,ingress表示入方向,egress表示出方向,本示例为入方向
    • protocol:安全组规则的协议类型,本示例为TCP。
    • ethertype:安全组规则的类型,本示例为IPv4。
    • remote_ip_prefix:安全组规则的源地址/目的地址,本示例中,由于添加的是入方向规则,因此表示源地址,取值为10.0.0.0/16。
    • multiport:安全组规则的端口,本示例为23。
    • action:安全组规则的策略,allow表示允许,deny表示拒绝,本示例为允许。
    • priority:安全组规则的优先级,本示例为1。

    关于安全组规则的更多参数说明,请参见查询安全组规则中的响应参数说明。

相关文档