Загрузка аудитных логов в Yandex Managed Service for ClickHouse и визуализация данных в Yandex DataLens
Загрузите аудитные логи каталога в Yandex Managed Service for ClickHouse и проанализируйте использование ресурсов в Yandex DataLens.
- Подготовьте облако к работе.
- Подготовьте окружение.
- Создайте трейл.
- Создайте эндпоинт-источник для потока данных Data Streams.
- Создайте эндпоинт-приемник для БД ClickHouse.
- Создайте трансфер.
- Визуализируйте данные в Yandex DataLens.
Если созданные ресурсы вам больше не нужны, удалите их.
Перед началом работы
Перед работой нужно зарегистрироваться в Yandex Cloud и создать платежный аккаунт:
- Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь, если вы еще не зарегистрированы.
- На странице биллинга убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе
ACTIVEилиTRIAL_ACTIVE. Если платежного аккаунта нет, создайте его.
Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.
Подробнее об облаках и каталогах.
Необходимые платные ресурсы
В стоимость поддержки инфраструктуры входит:
- плата за использование потока данных (см. тарифы Data Streams);
- плата за постоянно запущенный кластер Managed Service for ClickHouse (см. тарифы Managed Service for ClickHouse).
Подготовьте окружение
Создайте сервисный аккаунт и назначьте ему роли
- В консоли управления выберите каталог, в котором хотите создать сервисный аккаунт.
- Выберите вкладку Сервисные аккаунты.
- Нажмите кнопку Создать сервисный аккаунт.
- Введите имя сервисного аккаунта:
sa-trail-logs. - Нажмите Добавить роль и выберите роли
audit-trails.viewerиyds.editor. - Нажмите кнопку Создать.
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.
-
Создайте сервисный аккаунт с именем
sa-trail-logs:yc iam service-account create --name sa-trail-logsРезультат:
id: aje6o61*****h6g9a33s folder_id: b1gvmob*****aplct532 created_at: "2022-07-25T18:01:25Z" name: sa-trail-logsПодробнее о команде
yc iam service-account createсм. в справочнике CLI. -
Назначьте сервисному аккаунту роль
audit-trails.viewer:yc resource-manager folder add-access-binding <имя_каталога> \ --role audit-trails.viewer \ --subject serviceAccount:<идентификатор_сервисного_аккаунта_sa-trail-logs>Подробнее о команде
yc resource-manager folder add-access-bindingсм. в справочнике CLI. -
Назначьте сервисному аккаунту роль
yds.editor:yc resource-manager folder add-access-binding <имя_каталога> \ --role yds.editor \ --subject serviceAccount:<идентификатор_сервисного_аккаунта_sa-trail-logs>
Если у вас ещё нет Terraform, установите его и настройте провайдер Yandex Cloud.
-
Опишите в конфигурационном файле параметры сервисного аккаунта:
resource "yandex_iam_service_account" "sa" { name = "sa-trail-logs" } resource "yandex_resourcemanager_folder_iam_binding" "sa-role-audit-viewer" { folder_id = "<идентификатор_каталога>" role = "audit-trails.viewer" members = [ "serviceAccount:<идентификатор_сервисного_аккаунта_sa-trail-logs>", ] } resource "yandex_resourcemanager_folder_iam_binding" "sa-role-yds-editor" { folder_id = "<идентификатор_каталога>" role = "yds.editor" members = [ "serviceAccount:<идентификатор_сервисного_аккаунта_sa-trail-logs>", ] }Более подробную информацию о ресурсах, которые вы можете создать с помощью Terraform, см. в документации провайдера.
-
Проверьте корректность конфигурационных файлов.
-
В командной строке перейдите в папку, где вы создали конфигурационный файл.
-
Выполните проверку с помощью команды:
terraform plan
Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.
-
-
Разверните облачные ресурсы.
-
Если в конфигурации нет ошибок, выполните команду:
terraform apply -
Подтвердите создание ресурсов: введите в терминал слово
yesи нажмите Enter.
-
-
Создайте сервисный аккаунт с помощью метода create для ресурса ServiceAccount.
-
Узнайте идентификатор сервисного аккаунта:
export FOLDER_ID=<идентификатор_каталога> export IAM_TOKEN=<iam_токен> curl -H "Authorization: Bearer ${IAM_TOKEN}" \ "https://iam.api.cloud.yandex.net/iam/v1/serviceAccounts?folderId=${FOLDER_ID}"Результат:
{ "serviceAccounts": [ { "id": "aje6o61*****h6g9a33s", "folderId": "b1gvmob*****aplct532", "createdAt": "2022-07-25T18:01:25Z", "name": "sa-trail-logs", } ] } -
Сформируйте тело запроса в файле
body.json. В свойствеactionукажитеADD, а в свойствеsubject— типserviceAccountи идентификатор сервисного аккаунтаsa-trail-logs:body.json:
{ "accessBindingDeltas": [ { "action": "ADD", "accessBinding": { "roleId": "audit-trails.viewer", "subject": { "id": "<идентификатор_сервисного_аккаунта_sa-trail-logs>", "type": "serviceAccount" } } } { "action": "ADD", "accessBinding": { "roleId": "yds.writer", "subject": { "id": "<идентификатор_сервисного_аккаунта_sa-trail-logs>", "type": "serviceAccount" } } } ] } -
Назначьте роли сервисному аккаунту:
export FOLDER_ID=<идентификатор_каталога> export IAM_TOKEN=<iam_токен> curl -X POST \ -H "Content-Type: application/json" \ -H "Authorization: Bearer ${IAM_TOKEN}" \ -d '@body.json' \ "https://resource-manager.api.cloud.yandex.net/resource-manager/v1/folders/${FOLDER_ID}:updateAccessBindings"
Создайте кластер ClickHouse
-
На странице каталога в консоли управления нажмите кнопку Создать ресурс и выберите пункт Кластер ClickHouse.
-
Укажите настройки кластера ClickHouse:
-
В блоке Базовые параметры укажите имя кластера
trail-logs. -
В блоке Класс хоста выберите тип виртуальной машины burstable и тип хоста b2.nano.
-
В блоке База данных укажите имя БД
trail_data, имя пользователяuserи пароль. Запомните имя БД. -
В блоке Хосты нажмите значок . Включите опцию Публичный доступ и нажмите кнопку Сохранить.
-
В блоке Дополнительные настройки включите опции:
- Доступ из DataLens.
- Доступ из консоли управления.
- Доступ из Data Transfer.
-
-
После всех настроек нажмите кнопку Создать кластер.
-
Проверьте, есть ли в каталоге подсети для хостов кластера:
yc vpc subnet listЕсли ни одной подсети в каталоге нет, создайте нужные подсети в сервисе VPC.
-
Укажите параметры кластера в команде создания:
yc managed-clickhouse cluster create \ --name trail-logs \ --environment production \ --network-name <имя_сети> \ --host type=clickhouse,zone-id=<зона_доступности>,subnet-id=<идентификатор_подсети> \ --clickhouse-resource-preset b2.nano \ --clickhouse-disk-type network-hdd \ --clickhouse-disk-size 10 \ --user name=user,password=<пароль_пользователя> \ --database name=trail_data \ --datalens-access=true \ --datatransfer-access=true \ --websql-access=trueПодробнее о команде
yc managed-clickhouse cluster createсм. в справочнике CLI.
-
Добавьте в конфигурационный файл описание кластера и его хостов:
resource "yandex_mdb_clickhouse_cluster" "trail-logs" { name = "trail-logs" environment = "PRODUCTION" network_id = yandex_vpc_network.<имя_сети_в_Terraform>.id clickhouse { resources { resource_preset_id = "b2.nano" disk_type_id = "network-hdd" disk_size = 10 } } database { name = "trail_data" } user { name = "user" password = "<пароль>" permission { database_name = "trail_data" } } host { type = "CLICKHOUSE" zone = "<зона_доступности>" subnet_id = yandex_vpc_subnet.<имя_подсети_в_Terraform>.id } access { datalens = true datatransfer = true } }Более подробную информацию о ресурсах, которые вы можете создать с помощью Terraform, см. в документации провайдера.
-
Проверьте корректность конфигурационных файлов.
-
В командной строке перейдите в папку, где вы создали конфигурационный файл.
-
Выполните проверку с помощью команды:
terraform plan
Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.
-
-
Разверните облачные ресурсы.
-
Если в конфигурации нет ошибок, выполните команду:
terraform apply -
Подтвердите создание ресурсов: введите в терминал слово
yesи нажмите Enter.
-
Используйте метод REST API create.
Создайте поток данных
Поток данных будет использоваться для загрузки в него аудитных логов.
- На странице каталога в консоли управления нажмите кнопку Создать ресурс и выберите пункт Data Streams.
- В поле База данных нажмите Создать новую. Откроется страница создания новой базы данных YDB.
- Введите Имя базы данных:
stream-db. - В поле Тип базы данных выберите
Serverless. - Нажмите кнопку Сохранить базу данных.
- Вернитесь на страницу создания потока. Нажмите кнопку Обновить и выберите из списка созданную базу данных.
- Введите имя потока данных:
trail-logs-stream. - Нажмите кнопку Создать.
Дождитесь запуска потока данных. Когда поток станет готов к использованию, его статус изменится с CREATING на ACTIVE.
Создайте трейл
Трейл будет загружать аудитные логи всех ресурсов вашего каталога в поток данных Data Streams.
-
На странице каталога в консоли управления нажмите кнопку Создать ресурс и выберите пункт Audit trail.
-
Введите имя создаваемого трейла:
folder-trail. -
В блоке Фильтр задайте параметры области сбора аудитных логов:
- Ресурс — выберите
Каталог. - Каталог — не требует заполнения (содержит имя каталога, в котором будет находиться трейл).
- Ресурс — выберите
-
В блоке Назначение задайте параметры объекта назначения:
- Назначение —
Data Streams. - Поток данных — выберите поток данных
trail-logs-stream.
- Назначение —
-
В блоке Сервисный аккаунт выберите сервисный аккаунт
sa-trail-logs. -
Нажмите кнопку Создать.
Создайте эндпоинт-источник для потока данных Data Streams
Для создания трансфера нужно указать эндпоинт-источник, ведущий на поток Data Streams.
-
Перейдите на страницу каталога и выберите сервис Data Transfer.
-
На панели слева выберите Эндпоинты.
-
Нажмите кнопку Создать эндпоинт.
-
В поле Направление выберите
Источник. -
Укажите имя эндпоинта:
source-logs-stream. -
В поле Тип базы данных выберите
Yandex Data Streams. -
Настройте параметры эндпоинта:
- База данных — выберите базу данных, зарегистрированную для потока
trail-logs-stream. - Поток —
trail-logs-stream. - Сервисный аккаунт —
sa-trail-logs.
- База данных — выберите базу данных, зарегистрированную для потока
-
Настройте правила конвертации:
-
Формат данных —
JSON. -
Схема данных —
Список полей.Укажите список полей как в таблице ниже:
Name Type Key Required Path event_id STRING - - event_id event_source STRING - - event_source event_type STRING - - event_type event_time DATETIME - - event_time authenticated ANY - - authentication.authenticated subject_type STRING - - authentication.subject_type subject_id STRING - - authentication.subject_id subject_name STRING - - authentication.subject_name authorized ANY - - authorization.authorized resource_metadata ANY - - resource_metadata remote_address STRING - - request_metadata.remote_address user_agent STRING - - request_metadata.user_agent request_id STRING - - request_metadata.request_id event_status STRING - - event_status details ANY - - details -
Включите опцию Добавить неразмеченные столбцы.
-
-
Нажмите кнопку Создать.
Создайте эндпоинт-приемник для БД ClickHouse
Для создания трансфера нужно указать эндпоинт-приемник с настройками БД ClickHouse.
-
Перейдите на страницу каталога и выберите сервис Data Transfer.
-
На панели слева выберите Эндпоинты.
-
Нажмите кнопку Создать эндпоинт.
-
В поле Направление выберите
Приемник. -
Укажите имя эндпоинта:
target-logs-ch. -
В поле Тип базы данных выберите
ClickHouse. -
В блоке Параметры эндпоинта укажите:
- Тип подключения — Кластер MDB. Выберите кластер
trail-logs. - Пользователь —
user. - Пароль — укажите пароль пользователя БД.
- База данных —
trail_data
- Тип подключения — Кластер MDB. Выберите кластер
-
Нажмите кнопку Создать.
Создайте трансфер
С помощью трансфера будет выполняться перенос данных между сервисом-источником (потоком данных) и сервисом-приемником (БД ClickHouse).
- Перейдите на страницу каталога и выберите сервис Yandex Data Transfer.
- На панели слева выберите Трансферы.
- Нажмите кнопку Создать трансфер.
- Укажите имя трансфера:
logs-transfer. - Выберите эндпоинт для источника:
source-logs-stream. - Выберите эндпоинт для приемника:
target-logs-ch. - Нажмите кнопку Создать.
- Нажмите значок рядом с именем трансфера и выберите пункт Активировать.
- Дождитесь, когда трансфер перейдет в статус Реплицируется.
Создайте трансфер с именем logs-transfer:
yc datatransfer transfer create --name logs-transfer
--source-id <идентификатор_эндпоинта-источника_source-logs-stream>
--target-id <идентификатор_эндпоинта-приемника_target-logs-ch>
--type increment-only
Подробнее о команде yc datatransfer transfer create см. в справочнике CLI.
-
Добавьте в конфигурационный файл описание трансфера.
resource "yandex_datatransfer_transfer" "transfer" { folder_id = "<идентификатор_каталога>" name = "logs-transfer" source_id = "<идентификатор_эндпоинта-источника_source-logs-stream>" target_id = "<идентификатор_эндпоинта-приемника_target-logs-ch>" type = "INCREMENT_ONLY" }Более подробную информацию о ресурсах, которые вы можете создать с помощью Terraform, см. в документации провайдера.
-
Проверьте корректность конфигурационных файлов.
-
В командной строке перейдите в папку, где вы создали конфигурационный файл.
-
Выполните проверку с помощью команды:
terraform plan
Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.
-
-
Разверните облачные ресурсы.
-
Если в конфигурации нет ошибок, выполните команду:
terraform apply -
Подтвердите создание ресурсов: введите в терминал слово
yesи нажмите Enter.
-
После активации трансфера перейдите в Managed Service for ClickHouse и убедитесь, что в БД trail_data появилась таблица trail_logs_stream с событиями Audit Trails.
Вы можете выполнять запросы к БД trail_data для поиска интересных событий с точки зрения безопасности.
-
Найти, кто удалил каталог:
select * from trail_data.trail_logs_stream where event_type = 'yandex.cloud.audit.resourcemanager.DeleteFolder' and JSONExtractString(details, 'folder_name') = '<название_каталога>' -
Какие действия совершал конкретный пользователь за период времени (требуется указать Name ID пользователя и дату):
select * from trail_data.trail_logs_stream where subject_name = '<Name_ID_пользователя>' and event_time >= 2022-06-26 -
Срабатывание при создании ключей для сервисных аккаунтов:
select * from trail_data.trail_logs_stream where event_type = 'yandex.cloud.audit.iam.CreateAccessKey' or event_type = 'yandex.cloud.audit.iam.CreateKey' or event_type = 'yandex.cloud.audit.iam.CreateApiKey'
Все интересные события собраны в решении.
Визуализируйте данные в Yandex DataLens
Чтобы построить визуализации, нужно подключиться к БД ClickHouse, в которую были перенесены логи, и создать датасет на основе ее данных.
Создайте подключение
-
Перейдите на главную страницу сервиса Yandex DataLens.
-
В открывшемся окне нажмите кнопку Создать подключение.
-
Выберите подключение ClickHouse.
-
Выберите тип подключения Выбрать в каталоге и заполните настройки подключения:
- В поле Кластер выберите
trail-logs. - В поле Имя хоста выберите хост ClickHouse из выпадающего списка.
- Введите имя пользователя БД и пароль.
- В поле Кластер выберите
-
Нажмите Проверить подключение.
-
После проверки подключения нажмите кнопку Создать подключение.
-
Введите название подключения
trail-logs-conи нажмите кнопку Создать. -
После сохранения подключения в правом верхнем углу нажмите кнопку Создать датасет.
Создайте датасет
- Перетащите таблицу
trail_data.trail_logs_streamиз блока Таблицы в левой части экрана на рабочую область. - В правом верхнем углу нажмите кнопку Сохранить.
- Введите имя датасета
trail-logs-datasetи нажмите Создать. - После сохранения датасета в правом верхнем углу нажмите Создать чарт.
Создайте линейчатую диаграмму
Чтобы показать количество событий для каждого источника, создайте чарт — линейчатую диаграмму:
- Выберите тип визуализации Линейчатая диаграмма.
- Перетащите поле
event_sourceиз раздела Измерения в секцию Y. - Перетащите поле
event_idиз раздела Измерения в секцию X. - Перетащите поле
event_sourceиз раздела Измерения в секцию Цвета. - В правом верхнем углу нажмите Сохранить.
- В открывшемся окне введите название чарта
Trail logs: eventsи нажмите Сохранить.
Создайте круговую диаграмму
Чтобы показать соотношение количества событий по статусу, создайте чарт — круговую диаграмму:
-
Скопируйте чарт, получившийся на предыдущем шаге:
- В правом верхнем углу нажмите значок галочки рядом с кнопкой Сохранить .
- Нажмите Сохранить как.
- В открывшемся окне введите название нового чарта
Trail logs: statusesи нажмите кнопку Сохранить.
-
Выберите тип визуализации Круговая диаграмма. Поля
event_sourceиevent_idавтоматически попадут в секции Цвет и Показатели соответственно. -
Удалите поле
event_sourceиз секции Цвет и перетащите туда полеevent_status. -
В правом верхнем углу нажмите Сохранить.
Создайте дашборд и добавьте на него чарты
Создайте дашборд, на котором будут размещены чарты:
- Перейдите на главную страницу сервиса Yandex DataLens.
- Нажмите кнопку Создать дашборд.
- Введите название дашборда
Trail logs dashboardи нажмите кнопку Создать. - В правом верхнем углу нажмите кнопку Добавить и выберите Чарт.
- В поле Чарт нажмите Выбрать и выберите из списка чарт
Trail logs: events. - Нажмите кнопку Добавить. Чарт появится на дашборде.
- Повторите предыдущие шаги для чарта
Trail logs: statuses. - В правом верхнем углу нажмите кнопку Сохранить.
Пример дашборда:
Как удалить созданные ресурсы
Чтобы перестать платить за созданные ресурсы:
- удалите кластер
trail-logs; - удалите поток данных
trail-logs-stream; - удалите эндпоинты источника и приемника;
- удалите трансфер
logs-transfer.