快速使用云审计服务 CTS

活动规则

活动对象:华为云电销客户及渠道伙伴客户可参与消费满送活动,其他客户参与前请咨询客户经理

活动时间: 2020年8月12日-2020年9月11日

活动期间,华为云用户通过活动页面购买云服务,或使用上云礼包优惠券在华为云官网新购云服务,累计新购实付付费金额达到一定额度,可兑换相应的实物礼品。活动优惠券可在本活动页面中“上云礼包”等方式获取,在华为云官网直接购买(未使用年中云钜惠活动优惠券)或参与其他活动的订单付费金额不计入统计范围内;

  • 开通云审计服务

    使用云审计服务前需要先开通云审计服务,如果不开通云审计服务,则无法对资源操作进行记录。开通后CTS会自动创建一个名为system的管理追踪器,并将当前租户的所有操作记录在该追踪器中。

  • 查看追踪事件

    开通了云审计服务后,系统开始记录云服务资源的操作以及对OBS桶中数据的操作。云审计服务管理控制台保存最近7天的操作记录。

  • 查看已归档事件

    云审计服务会定时将跟踪到的事件以事件文件的形式按周期保存至OBS桶。事件文件是按照服务、转储周期两个维度生成的事件集,系统会根据当前负载情况调整每个事件文件包含的事件数。

  • 配置关键操作通知

    云审计服务在记录某些特定关键操作时,支持对这些关键操作通过消息通知服务实时向相关订阅者发送通知,该功能由云审计服务触发,消息通知服务(SMN)完成通知发送。

常见问题

常见问题

活动规则

活动对象:华为云电销客户及渠道伙伴客户可参与消费满送活动,其他客户参与前请咨询客户经理

活动时间: 2020年8月12日-2020年9月11日

活动期间,华为云用户通过活动页面购买云服务,或使用上云礼包优惠券在华为云官网新购云服务,累计新购实付付费金额达到一定额度,可兑换相应的实物礼品。活动优惠券可在本活动页面中“上云礼包”等方式获取,在华为云官网直接购买(未使用年中云钜惠活动优惠券)或参与其他活动的订单付费金额不计入统计范围内;

  • 哪些用户应该开通云审计服务?

    所有云用户均应该开通云审计服务。

    1. -从政策、行业规范角度,云审计服务是信息安全审计功能的核心必备组件,是企事业单位信息系统安全风险管控的重要组成部分,也是很多行业标准、审计规范的必备组成部分。
    2. -从应用角度,云审计服务是云资源出现问题时,降低问题定位时间和人力成本的有效手段,能够精确定位到问题发生时的所有操作,借以减小问题排查范围。
  • 如果用户已开通云审计服务,但OBS桶未配置正确的策略,会出现什么情况?

    云审计服务会根据既有的OBS存储桶策略来传送事件文件。如果错误地配置OBS存储桶策略,那么云审计服务将无法传送事件文件。

    被删除或有异常的OBS桶,管理控制台界面会显示相应的错误提示信息。用户可选择重新创建OBS桶或重新配置OBS桶的访问权限

  • 云审计服务是否支持事件文件的完整性校验?

    支持。原则上进行完整性校验时必须包含以下字段:time、service_type、resource_type、trace_name、trace_rating、trace_type,其他字段由各服务自己定义。

  • 为什么查看事件窗口中的有些事件的字段为空?

    可以为空的字段有source_ip、code、request、response和message,这些字段并非云审计服务规定的必备字段:

    1. -source_ip:当trace type为SystemAction时,表示本次操作由服务内部触发,此时缺失IP字段为正常情况。
    2. -request/response/code:这三个字段是表示本次操作所对应的请求内容、请求结果及HTTP返回码,在有些情况下,这些字段本身为空,或不具备业务意义,产生该事件的云服务会根据实际情况选择某字段留空。
    3. -message:该字段为预留字段,若其他云服务基于业务需要,需要增加额外信息时,可附加在该字段内,缺失为正常情况。
  • 为什么事件列表中的某些操作被记录了两次?

    对于异步调用事件,会产生两条事件记录,其事件名称、资源类型、资源名称等字段相同。在事件列表中,看起来是重复记录了操作(例如,Workspace的deleteDesktop事件),但实际上,这两条事件是相互关联、但内容不同的两条记录,典型的异步调用场景时间如下:

    1. -第一条事件:记录用户发起的请求;
    2. -第二条事件:记录用户请求的操作结果,通常与第一条时间记录有数分钟的延迟,记录用户请求的实际响应结果。

    两条事件需要结合在一起,才能反映用户本次操作的真实结果。

  • 为什么在事件列表中按照操作用户进行筛选时,存在user_name和op_service用户?

    当用户发起的某些请求涉及后台一些高权限要求的操作或涉及调用其他服务时,可能存在用户自身的权限不足的问题,因此在确保符合安全要求的前提下,会临时对该请求中的用户身份进行提权,请求完成后提权结束,但会将提权行为记录到该请求发送到CTS的日志当中,此时的操作用户将记录为user_name或者op_service。

  • 关键操作通知服务支持哪些服务?

    云审计服务支持对全部的关键操作发送通知,支持的服务类型包括ECSEVSVPCDEWIAM和原生OpenStack等,支持的操作类型上包括创建、删除、登录和对原生OpenStack接口等操作。

  • CTS如何长期保存事件文件——转储至OBS桶

    云审计服务仅保存近7天的事件,可以对追踪器增加OBS转储的相关配置,将事件同步、长期保存至OBS桶。具体操作请参考配置追踪器