Загрузка аудитных логов облака в Object Storage
По этой инструкции вы создадите новый трейл, который будет загружать аудитные логи ресурсов облака в бакет Object Storage.
Совет
Чтобы дополнительно защитить аудитные логи, зашифруйте бакет.
Подготовить окружение
Для сбора аудитных логов отдельного облака:
-
Создайте новый бакет для загрузки в него аудитных логов.
-
Создайте сервисный аккаунт.
-
Назначьте роли сервисном аккаунту:
CLIЕсли у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра
--folder-name
или--folder-id
.-
Назначьте роль
audit-trails.viewer
на облако, со всех ресурсов которого будут собираться аудитные логи:yc resource-manager cloud add-access-binding \ --role audit-trails.viewer \ --id <идентификатор_облака> \ --service-account-id <идентификатор_сервисного_аккаунта>
Где:
role
— назначаемая роль;id
— идентификатор облака, с которого будут собираться аудитные логи;service-account-id
— идентификатор сервисного аккаунта.
-
Назначьте роль
storage.uploader
на каталог, в котором будет находиться трейл:yc resource-manager folder add-access-binding \ --role storage.uploader \ --id <идентификатор_каталога> \ --service-account-id <идентификатор_сервисного_аккаунта>
Где:
role
— назначаемая роль;id
— идентификатор каталога, в котором будет находиться трейл;service-account-id
— идентификатор сервисного аккаунта.
-
-
На странице Права доступа убедитесь, что у вас есть роли:
iam.serviceAccounts.user
на сервисный аккаунт;audit-trails.editor
на каталог, где будет находиться трейл;audit-trails.viewer
на облако, с которого будут собираться аудитные логи;storage.viewer
на бакет или каталог.
Зашифровать бакет
Чтобы хранить логи в зашифрованном виде:
-
Создайте ключ шифрования в сервисе Yandex Key Management Service.
-
Включите шифрование бакета, используя созданный ключ.
-
Назначьте сервисному аккаунту, который вы создали ранее, роль
kms.keys.encrypterDecrypter
на ключ:yc kms symmetric-key add-access-binding \ --role kms.keys.encrypterDecrypter \ --id <идентификатор_ключа_шифрования> \ --service-account-id <идентификатор_сервисного_аккаунта>
Где:
role
— назначаемая роль;id
— идентификатор ключа шифрования;service-account-id
— идентификатор сервисного аккаунта.
Создать трейл
Чтобы создать первый трейл в Audit Trails и запустить процесс управления аудитными логами:
-
В консоли управления выберите каталог, в котором вы хотите разместить трейл.
-
Выберите сервис Audit Trails.
-
Нажмите кнопку Создать трейл и укажите:
- Имя — имя создаваемого трейла.
- Описание — описание трейла, необязательный параметр.
-
В блоке Фильтр задайте параметры области сбора аудитных логов:
- Ресурс — выберите
Облако
. - Облако — не требует заполнения, содержит имя облака, в котором будет находиться трейл.
- Каталоги — оставьте значение по умолчанию
все каталоги
.
- Ресурс — выберите
-
В блоке Назначение задайте параметры объекта назначения:
- Назначение —
Object Storage
. - Бакет — выберите бакет, в который будут загружаться аудитные логи.
- Префикс объекта — необязательный параметр, участвует в полном имени файла аудитного лога.
Примечание
Используйте префикс, если вы храните аудитные логи и сторонние данные в одном и том же бакете. Не используйте одинаковый префикс для логов и других объектов в бакете, так как в этом случае логи и сторонние объекты могут перезаписать друг друга.
- Назначение —
-
В блоке Сервисный аккаунт выберите сервисный аккаунт, от имени которого трейл будет загружать файлы аудитного лога в бакет.
-
Нажмите кнопку Создать.
Трейл создастся и начнет загружать аудитные логи в бакет.
Что дальше
- Узнайте о формате аудитных логов.
- Узнайте о порядке загрузки аудитных логов в SIEM.
- Узнайте о поиске по аудитным логам в бакете.