Загрузка аудитных логов организации в Cloud Logging
По этой инструкции вы создадите новый трейл, который будет загружать аудитные логи всех ресурсов организации в лог-группу Cloud Logging.
Подготовить окружение
Для экспорта аудитных логов организации:
-
Создайте лог-группу для загрузки в нее аудитных логов.
-
Создайте сервисный аккаунт.
-
Назначьте роли сервисному аккаунту:
CLIЕсли у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра
--folder-name
или--folder-id
.-
audit-trails.viewer
на организацию, с которой будут собираться аудитные логи:yc organization-manager organization add-access-binding \ --role audit-trails.viewer \ --id <идентификатор организации> \ --service-account-id <идентификатор сервисного аккаунта>
Где:
role
— назначаемая роль.id
— идентификатор организации, со всех ресурсов которой будут собираться аудитные логи.service-account-id
— идентификатор сервисного аккаунта.
-
logging.writer
на каталог, в котором будет находиться трейл:yc resource-manager folder add-access-binding \ --role logging.writer \ --id <идентификатор каталога> \ --service-account-id <идентификатор сервисного аккаунта>
Где:
role
— назначаемая роль.id
— идентификатор каталога, в котором будет находиться трейл.service-account-id
— идентификатор сервисного аккаунта.
-
-
На странице Права доступа убедитесь, что у вас есть роли:
iam.serviceAccounts.user
на сервисный аккаунт;audit-trails.editor
на каталог, где будет находиться трейл;audit-trails.viewer
на организацию, с которой будут собираться аудитные логи;logging.viewer
на лог-группу Cloud Logging.
Создать трейл
Чтобы создать трейл, который экспортирует аудитные логи организации:
- В консоли управления выберите каталог, в котором вы хотите разместить трейл.
- Выберите сервис Audit Trails.
- Нажмите кнопку Создать трейл и укажите:
- Имя — имя создаваемого трейла.
- Описание — описание трейла, необязательный параметр.
- В блоке Фильтр задайте параметры области сбора аудитных логов:
- Ресурс — выберите
Организация
. - Организация — не требует заполнения, содержит имя текущей организации.
- Ресурс — выберите
- В блоке Назначение задайте параметры объекта назначения:
- Назначение —
Cloud Logging
. - Лог-группа — выберите лог-группу. Также вы можете создать новую лог-группу, для этого:
- Нажмите кнопку Создать новую и укажите параметры лог-группы:
- Имя — имя создаваемой группы.
- Описание — описание лог-группы, необязательный параметр.
- Срок хранения логов.
- Нажмите кнопку Создать группу.
- Нажмите кнопку Создать новую и укажите параметры лог-группы:
- Назначение —
- В блоке Сервисный аккаунт выберите сервисный аккаунт, от имени которого трейл будет загружать аудитные логи в лог-группу.
- Нажмите кнопку Создать.
Трейл создастся и начнет загружать аудитные логи в лог-группу.
Что дальше
- Узнайте о формате аудитных логов.
- Узнайте о порядке загрузки аудитных логов в SIEM.
- Узнайте о поиске по аудитным логам в бакете.