云审计服务CTS操作指导视频

如何查看CTS操作事件

02:30

如何查看CTS操作事件

如何创建CTS关键操作通知

04:07

如何创建CTS关键操作通知

查看CTS操作事件的操作步骤

1.登录管理控制台。

2.单击左上角,选择“管理与监管 > 云审计服务 CTS”,进入云审计服务页面。

3.单击左侧导航树的“事件列表”,进入事件列表信息页面。

4.事件列表支持通过高级搜索来查询对应的操作事件。

时间范围:可在页面右上角选择查询最近1小时、最近1天、最近1周及自定义时间段的操作事件。

事件类型、事件来源、资源类型和筛选类型:在下拉框中选择查询条件,其中筛选类型按资源ID筛选时,还需手动输入某个具体的资源ID。若事件类型选择了数据事件,则可根据追踪器来过滤,其他过滤条件不支持。

操作用户:在下拉框中选择一个或多个具体的操作用户。

事件级别:可选项为“所有事件级别”、“Normal”、“Warning”、“Incident”,只可选择其中一项。


5.选择查询条件后,单击“查询”。

6.在筛选框右侧,单击“导出”,云审计服务会将查询结果以CSV格式的文件导出,该CSV文件包含了本次查询结果的所有事件,且最多导出5000条信息。

7.在需要查看的事件左侧,单击展开该记录的详细信息。

8.在需要查看的记录右侧,单击“查看事件”,弹出一个窗口显示该操作事件结构的详细信息。

查询不到事件怎么办?

查看是否已选择正确的时间范围

查看筛选条件是否选择正确

云审计服务操作事件的常见问题

云审计服务操作事件的常见问题

活动规则

活动对象:华为云电销客户及渠道伙伴客户可参与消费满送活动,其他客户参与前请咨询客户经理

活动时间: 2020年8月12日-2020年9月11日

  • 事件列表用于记录哪些信息?

    事件列表记录了两种事件,分别为管理类事件和数据类事件。管理类事件指对云服务资源新建、配置、删除等操作的详细信息。数据类事件指针对数据的操作日志,例如上传、下载等。事件列表不记录查询操作的相关信息。

  • 云审计服务是否支持事件文件的完整性校验?

    支持。原则上进行完整性校验时必须包含以下字段:time、service_type、resource_type、trace_name、trace_rating、trace_type,其他字段由各服务自己定义。

  • 为什么查看事件窗口中的有些事件的字段为空?

    可以为空的字段有source_ip、code、request、response和message,这些字段并非云审计服务规定的必备字段:

    1. source_ip:当trace type为SystemAction时,表示本次操作由服务内部触发,此时缺失IP字段为正常情况。
    2. request/response/code:这三个字段是表示本次操作所对应的请求内容、请求结果及HTTP返回码,在有些情况下,这些字段本身为空,或不具备业务意义,产生该事件的云服务会根据实际情况选择某字段留空。
    3. message:该字段为预留字段,若其他云服务基于业务需要,需要增加额外信息时,可附加在该字段内,缺失为正常情况。
  • 为什么事件列表中的某些操作被记录了两次?

    对于异步调用事件,会产生两条事件记录,其事件名称、资源类型、资源名称等字段相同。在事件列表中,看起来是重复记录了操作(例如,Workspace的deleteDesktop事件),但实际上,这两条事件是相互关联、但内容不同的两条记录,典型的异步调用场景时间如下:

    1. 第一条事件:记录用户发起的请求;
    2. 第二条事件:记录用户请求的操作结果,通常与第一条时间记录有数分钟的延迟,记录用户请求的实际响应结果。

    两条事件需要结合在一起,才能反映用户本次操作的真实结果。

  • 为什么有些trace_type为systemAction的事件,存在user和source_ip为空的情况?

    trace_type字段的业务意义为标示请求来源,该字段可以是控制台(ConsoleAction)、API网关(ApiCall)及系统内调用(SystemAction)。

    系统内调用为非用户触发的操作,例如自动触发的告警、弹性伸缩、定时备份任务以及为完成用户请求产生的系统内部次级调用等,这种情况下,不存在直接触发操作的用户或设备,根据审计的客观性原则,该两个字段为空。

  • 为什么按需和包周期创建虚拟机的时候会有两个deleteMetadata事件?

    由于系统在创建虚拟机的时候需要使用metadata存储临时信息,在创建虚拟机完成后会自动删除该信息,因此会触发两个deleteMetadata信息。