云审计 支持的CBH实例操作 云审计服务（Cloud Trace Service，简称 CTS ），是华为 云安全 解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 开启了云审计服务后，系统开始记录 云堡垒机 实例的相关操作，云审计服务管理控制台将保存最近7天的操作记录。云审计服务支持的CBH实例操作参考表1。 表1 支持CBH实例操作列表 操作名称 资源类型 事件名称 启动 堡垒机 实例 cbh StartInstance 关闭堡垒机实例 cbh StopInstance 重启堡垒机实例 cbh RebootInstance 升级堡垒机实例 cbh UpgradeInstance 回退升级的堡垒机实例 cbh RollbackInstance IAM 用户登录堡垒机实例Console cbh LoginInstance 重置堡垒机实例admin密码 cbh ResetInstancePassword 重置堡垒机实例admin登录方式 cbh ResetInstanceLoginMethod 删除故障云堡垒机实例 cbh DeleteInstance 变更堡垒机实例 cbh ResizeInstance 创建堡垒机实例 cbh CreateInstance 堡垒机实例绑定弹性公网IP cbh InstallInstanceEip 堡垒机实例解绑弹性公网IP cbh UninstallInstanceEip 修改堡垒机实例安全组 cbh UpdateInstanceSecurityGroup 获取租户给云堡垒机服务委托授权信息 cbh ShowAuthorization 租户创建或取消云堡垒机服务的委托授权 cbh RegisterAuthorization 统计符合标签条件的实例数量 cbh CountInstancesByTag 查询堡垒机实例资源的标签信息 cbh ShowInstanceTags 批量创建实例标签 cbh BatchCreateInstanceTag 获取运维链接 cbh ShowOmUrl 用户登录堡垒机实例admin的Console cbh LoginInstanceAdmin 修改单机堡垒机实例类型 cbh ChangeInstanceType 切换堡垒机虚拟私有云 cbh SwitchInstanceVpc 父主题： 审计实例关键操作

使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到 对象存储服务 （OBS）或 云日志 服务（LTS），才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 CTS新版事件列表不显示数据类审计事件，您需要在旧版事件列表查看数据类审计事件。 云审计控制台对用户的操作事件日志保留7天，过期自动删除，不支持人工删除。

使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或云日志服务（LTS），才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 CTS新版事件列表不显示数据类审计事件，您需要在旧版事件列表查看数据类审计事件。 云审计控制台对用户的操作事件日志保留7天，过期自动删除，不支持人工删除。

使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或云日志服务（LTS），才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 CTS新版事件列表不显示数据类审计事件，您需要在旧版事件列表查看数据类审计事件。 云审计控制台对用户的操作事件日志保留7天，过期自动删除，不支持人工删除。

支持审计的关键操作列表 表1 云审计服务支持的云服务器操作列表 操作名称 资源类型 事件名称 创建AKSK AKSK create-AKSK 删除AKSK AKSK delete-AKSK 修改AKSK AKSK update-AKSK 更改agent采集状态 AGENT change-agent-status 删除agent AGENT delete-agent 更改agent的profiler状态 AGENT profiler-status 创建账号 account create-account 删除账号 account delete-account 分页查询账号 account get-accounts 更新账号 account update-account 创建应用 application create-application 删除应用 application delete-application 更新应用 application update-application 修改应用默认属性 application update-default-application 删除环境 environment delete-env 解除标签与环境的关联 envTag delete-envTag 修改标签下的环境 envTag update-envs-of-tag 修改环境关联的标签 envTag update-tags-of-env 新增子应用 subApplication create-subApplication 删除子应用 subApplication delete-subApplication 更新子应用 subApplication update-subApplication 创建标签 tag create-tag 删除标签 tag delete-tag 获取标签列表 tag get-envTag-List 更新标签 tag update-tag 保存租户的通用配置信息 domain-common-config save-domain-common-config 更改监控项状态 monitor-item change-monitor-item-status 保存监控项的信息 monitor-item save-monitor-item-config 更改规格 spec change-spec 开通 APM 服务企业版 open-normal-service open-APM-service 开通APM服务免费版 open-trail-service open-trail-version 套餐询价 billing inquiry-price 生成cbc订单号 billing create-order 区域注册 region register-region 探针注册 agent register-agent 同步探针信息 agent sync 注册处理单元 process-unit register-process-unit 添加告警规则 alarm add-an-alarm-rule 删除告警规则 alarm delete-an-alarm-rule 更新告警规则 alarm update-an-alarm-rule 更新告警规则状态 alarm update-an-alarm-rule-status 复制告警模板 alarm copy-alarm-templates 添加告警模板规则 alarm add-an-alarm-template-rule 添加告警模板基础信息 alarm add-an-alarm-template-base 删除告警模板规则 alarm delete-an-alarm-template-rule 删除模板绑定关系 alarm delete-an-alarm-template-relation 删除告警模板 alarm delete-an-alarm-template 更新告警模板规则 alarm update-an-alarm-template-rule 更新告警模板规则与环境的状态 alarm update-an-alarm-template-rule-with-env-status 更新告警模板规则状态 alarm update-template-alarm-rule-status 更新告警模板基础信息 alarm update-template-base 添加或者更新模板绑定关系 alarm update-template-relation 更新调试的告警信息 alarm update-debug-config 添加smn-topic配置信息 alarm add-smn-topic-info 删除smn-topic配置信息 alarm delete-smn-topic-info 更新smn-topic配置信息 alarm update-smn-topic-info 添加用户信息 alarm add-user-information 删除用户信息 alarm delete-user-information 更新用户信息 alarm update-user-information 增加事务配置 transaction add-transaction-config 事务配置删除 transaction delete-transaction-config 环境下脱敏配置保存 desensitization create-env-config 环境下脱敏配置修改 desensitization update-env-config 删除对应环境下的配置信息 desensitization delete-env-config 创建资源标签 tms-tag batch-create-tms-tag 删除资源标签 tms-tag delete-tms-tag 修改资源标签 tms-tag update-tms-tag tms侧创建资源标签 tms-tag create-tms-tags tms侧删除资源标签 tms-tag delete-tms-tags 创建前端监控站点 rum create-rum-instance 更新前端监控站点 rum update-rum-instance 删除前端监控站点 rum delete-rum-instance 更新前端监控站点状态 rum update-rum-instance-status 创建前端监控规则配置 rum create-rum-config 更新前端监控规则配置 rum update-rum-config 删除前端监控规则配置 rum delete-rum-config 上传sourcemap文件 rum sourcemap-upLoad 创建链路追踪应用 skywalking create-sw-business 更新采样率 skywalking update-samplingrate 定义慢接口 skywalking update-slow-interface 定义慢sql skywalking update-slow-sql 生成token skywalking creat-token 删除业务 skywalking delete-business 删除agent skywalking delete-agent 删除环境 skywalking delete-sw-env 保存关联日志服务设置 lts-mapping create-lts-mapping 保存Profiler性能剖析配置 profiler-mapping create-profiler-mapping 查询Profiler性能剖析配置 profiler-mapping list-profiler-mapping 保存微服务与基础设施关联分析设置 aom-mapping create-aom-mapping 查询微服务与基础设施关联分析设置 aom-mapping list-aom-mapping 删除微服务与基础设施关联分析设置 aom-mapping remove-aom-mapping 批量复制自定义设置 aom-mapping create-custom-setting-mapping 创建APP应用 rum-app create-rum-app-instance 更新APP应用 rum-app update-rum-app-instance 删除APP应用 rum-app delete-rum-app-instance 更新APP应用状态 rum-app update-rum-app-instance-status 创建报表推送规则 report create-report-rule 删除报表推送规则 report delete-report-rule 编辑报表推送规则 report update-report-rule 创建或编辑组件设置 component-setting create-or-update-component-setting

使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或云日志服务（LTS），才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 CTS新版事件列表不显示数据类审计事件，您需要在旧版事件列表查看数据类审计事件。 云审计控制台对用户的操作事件日志保留7天，过期自动删除，不支持人工删除。

操作场景 云审计服务（Cloud Trace Service，简称CTS）是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 开通云审计服务后，您可以通过云审计服务记录与工业数据转换引擎云服务（Industrial Data Exchange Engine Service，iDEE）相关的操作事件，便于日后的查询、审计和回溯。

支持云审计的iDEE关键操作 表1 云审计服务支持的iDEE操作列表 操作名称 资源类型 事件名称 资源订购 ideeCloudCbcResource subscribe 删除用户购买实例 ideeResourceInstance deleteInstance 批量添加资源标签 ideeTmsResource resourceTagBatchCreate 批量删除资源标签 ideeTmsResource resourceTagBatchDelete

支持审计的关键操作列表 表1 云审计服务支持的IMS操作列表 操作名称 资源类型 事件名称 创建镜像 ims createImage 创建数据盘镜像 ims createDataImage 创建整机镜像 ims createWholeImage 修改镜像 ims updateImage 批量删除镜像 ims deleteImage 查询镜像 ims queryImage 查询镜像列表 ims listImages 复制镜像 ims copyImage 跨区域复制镜像 ims crossRegionCopyImage 导出镜像 ims exportImage 新增成员 ims addMember 批量修改成员 ims updateMember 批量删除成员 ims deleteMember 查询成员 ims queryMember 查询成员列表 ims listMembers 批量添加或删除镜像标签 ims createOrUpdateTags 添加除镜像标签 ims createTag 批量删除镜像标签 ims deleteTags 删除镜像标签 ims deleteTag 查询镜像标签列表 ims listTags 创建镜像元数据 ims createImageMetadata 注册镜像 ims registerImage 上传镜像 ims uploadImage 查询镜像视图 ims queryImageSchema 查询镜像列表视图 ims queryImageListSchema 查询镜像成员视图 ims queryMemberSchema 查询镜像成员列表视图 ims queryMemberListSchema 查询镜像支持的OS列表 ims listOsVersions 查询镜像配额 ims queryImageQuota 表2 由IMS触发的操作与OpenStack原生接口的关系 操作名称 事件名称 服务类型 资源类型 归属 创建镜像 createImage IMS image glance 修改镜像信息/上传镜像 updateImage IMS image glance 删除镜像 deleteImage IMS image glance 添加标签 addTag IMS image glance 删除标签 deleteTag IMS image glance 添加镜像成员 addMember IMS image glance 修改镜像成员信息 updateMember IMS image glance 删除镜像成员 deleteMember IMS image glance

使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或云日志服务（LTS），才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 CTS新版事件列表不显示数据类审计事件，您需要在旧版事件列表查看数据类审计事件。 云审计控制台对用户的操作事件日志保留7天，过期自动删除，不支持人工删除。

支持审计的关键操作列表 表1 云审计支持的裸金属服务器操作列表 操作名称 资源类型 事件名称 创建裸金属服务器 bms createBareMetalServers 删除裸金属服务器 bms deleteBareMetalServers 启动裸金属服务器 bms startBareMetalServers 关闭裸金属服务器 bms stopBareMetalServers 重启裸金属服务器 bms rebootBareMetalServers

新建查询 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“资源聚合器”，在下拉列表中选择“高级查询”，进入“高级查询”页面。 选择“自定义查询”页签，单击页面右上角的“新建查询”。 在右侧的“查询范围”处选择需要查询资源配置的聚合器，然后在下方输入框中输入查询语句。 页面左侧为高级查询使用的Schema信息，也就是查询语句中properties参数需要填写的内容，为各个云服务资源类型的详细属性。查询语句的配置样例请参见高级查询配置样例。 单击“保存查询”，输入查询名称和描述。 查询名称仅支持输入数字、英文字母、下划线和中划线，最大长度64个字符。 单击“确定”，保存成功。 图1 保存查询 如果自定义查询达到限额时，您将无法单击“保存查询”，同时页面右上方提示“您创建的查询已达到上限，请删除暂不需要使用的查询”。但此时您依然可以单击“运行”，直接运行查询并查看和导出查询结果。 单击“运行”，查看查询结果。目前只支持展示和导出前4000条查询结果。 单击查询结果列表上方的“导出”，选择要导出的文件格式（ CS V格式或JSON格式），可导出查询结果。 单击“历史执行记录”，可查看该查询历史执行的时间和查询语句等信息。 您可以基于历史执行记录进行如下操作： 再次运行：直接基于历史查询语句再次运行查询。 复制：复制历史查询语句。 保存：直接将历史查询语句保存为新的自定义查询。 当您关闭浏览器窗口或登出账号后，高级查询的历史执行记录将被清除。 图2 历史执行记录

其他操作 您可以修改预设查询或已有自定义查询的名称、描述和查询语句，“另存为”后产生新的查询，具体请参考基于预设查询创建自定义查询。 如果您需要查看某个查询的名称、描述和查询语句，请参考查看查询。 如果您需要修改某个自定义查询的查询语句，请参考修改查询。 如果您不需要使用某个自定义的查询，删除操作请参考删除查询。预设查询不支持删除操作。 使用资源聚合器高级查询的相关功能，必须先指定需要查询的资源聚合器，从而定义您的查询范围，对指定聚合器聚合的多个源账号下的资源进行高级查询。

概述 资源聚合器提供高级查询能力，通过使用ResourceQL自定义查询单个或多个聚合源账号的资源配置状态。 高级查询支持用户自定义查询和浏览华为云云服务资源，用户可以通过ResourceQL在查询编辑器中编辑和查询。 您可以使用Config预设的查询语句，或根据资源配置属性自定义查询语句，查询具体的云资源配置。 ResourceQL是结构化的查询语言(SQL)SELECT语法的一部分，它可以对当前资源数据执行基于属性的查询和聚合。查询的复杂程度不同，既可以是简单的标签或资源标识符匹配，也可以是更复杂的查询，例如查看指定具体OS版本的云服务器。 高级查询仅支持用户自定义查询、浏览、导出云服务资源，如果要对资源进行修改、删除等管理类的操作，请前往资源所属的服务页面进行操作。

使用限制 为避免单用户长时间查询占用资源，影响其他用户，对高级查询功能做以下限制： 单次查询语句的执行时长不能超过15秒，否则会返回超时错误。 单次查询语句查询大量数据，会返回查询数据量过大的报错，需要用户主动简化查询语句。 单次查询结果只返回前4000条。 单个查询语句中最多只能做两次表的关联查询。 每个账号最多可以创建200个高级查询。 资源聚合器的高级查询能力暂时不支持 checksum 和 provisioning_state 两个属性。 高级查询功能依赖于资源记录器所收集的资源数据，强烈建议您保持资源记录器的开启状态，不同场景的说明如下： 如您从未开启过资源记录器，则高级查询语句无法查询到任何资源数据。 如您已开启资源记录器，但仅在资源记录器监控范围内勾选部分资源，则高级查询语句仅能查询到所选择的资源数据。 如您开启资源记录器并勾选全部资源，但后续又关闭资源记录器，则高级查询语句无法查询到任何资源数据。 关于如何开启并配置资源记录器请参见：配置资源记录器。