Yandex Cloud
  • Сервисы
  • Решения
  • Почему Yandex Cloud
  • Сообщество
  • Тарифы
  • Документация
  • Связаться с нами
Подключиться
Language / Region
Проект Яндекса
© 2023 ООО «Яндекс.Облако»
Yandex Audit Trails
  • Начало работы
  • Пошаговые инструкции
    • Все инструкции
    • Загрузка аудитных логов в Cloud Logging
      • Организация
      • Облако
      • Каталог
    • Загрузка аудитных логов в Data Streams
      • Организация
      • Облако
      • Каталог
    • Загрузка аудитных логов в Object Storage
      • Организация
      • Облако
      • Каталог
  • Практические руководства
    • Поиск событий Yandex Cloud в Yandex Query
    • Поиск событий Yandex Cloud в Object Storage
    • Поиск событий Yandex Cloud в Cloud Logging
    • Настройка алертов в Yandex Monitoring
    • Настройка реагирования в Cloud Functions
    • Загрузка аудитных логов в Yandex Managed Service for ClickHouse и визуализация данных в Yandex DataLens
    • Экспорт аудитных логов в SIEM
      • Загрузка аудитных логов в Yandex Managed Service for Elasticsearch
      • Загрузка аудитных логов в MaxPatrol SIEM
      • Загрузка аудитных логов в SIEM Splunk
      • Загрузка аудитных логов в SIEM ArcSight
  • Концепции
    • Обзор
    • Трейл
    • Аудитный лог событий
    • Справочник событий
    • Экспорт в SIEM
    • Квоты и лимиты
    • Метрики
  • Управление доступом
  • Правила тарификации
  1. Практические руководства
  2. Поиск событий Yandex Cloud в Yandex Query

Поиск событий Yandex Cloud в Yandex Query

Статья создана
Yandex Cloud
  • Перед началом работы
  • Необходимые платные ресурсы
  • Подготовьте окружение
    • Создайте бакет для аудитных логов
    • Создайте сервисные аккаунты
    • Назначьте права сервисным аккаунтам
  • Создайте трейл
  • Создайте соединение между трейлом и YQ
  • Выполните запрос к логам в Object Storage
  • Как удалить созданные ресурсы

В Yandex Query интегрирована поддержка Audit Trails. Вы можете анализировать события ресурсов Yandex Cloud, выполняя аналитические и потоковые запросы на языке YQL.

Аналитические запросы можно выполнять для логов, которые хранятся в бакете, а потоковые — для логов в потоке данных Yandex Data Streams.

Чтобы подключить бакет с аудитными логами к Yandex Query и выполнить запросы на языке YQL:

  1. Подготовьте окружение.
  2. Создайте соединение между трейлом и YQ.
  3. Выполните запрос к логам в Object Storage.

Если созданные ресурсы вам больше не нужны, удалите их.

Перед началом работы

Перед работой нужно зарегистрироваться в Yandex Cloud и создать платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь, если вы еще не зарегистрированы.
  2. На странице биллинга убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

Необходимые платные ресурсы

В стоимость поддержки инфраструктуры входит плата за использование бакета (см. тарифы Object Storage).

Подготовьте окружение

Создайте бакет для аудитных логов

Консоль управления
  1. В консоли управления перейдите в каталог, в котором хотите создать бакет, например example-folder.
  2. Выберите сервис Object Storage.
  3. Нажмите Создать бакет.
  4. На странице создания бакета:
    • укажите Имя — bucket-yq;
    • для остальных параметров оставьте значения по умолчанию.
  5. Нажмите Создать бакет.

Создайте сервисные аккаунты

Создайте сервисный аккаунт trail-sa:

Консоль управления
  1. В консоли управления перейдите в каталог example-folder.
  2. Перейдите на вкладку Сервисные аккаунты.
  3. Нажмите Создать сервисный аккаунт.
  4. Укажите Имя — trail-sa.
  5. Нажмите кнопку Создать.

Аналогично создайте сервисный аккаунт с именем bucket-yq-sa.

Назначьте права сервисным аккаунтам

Назначьте сервисному аккаунту trail-sa роли audit-trails.viewer и storage.uploader:

CLI
  1. Роль audit-trails.viewer на организацию:

    yc organization-manager organization add-access-binding \
    --role audit-trails.viewer \
    --id <идентификатор_организации> \
    --service-account-id <идентификатор_сервисного_аккаунта_trail-sa>
    

    Результат:

    done (1s)
    

    Подробнее о команде yc organization-manager organization add-access-binding см. в справочнике CLI.

  2. Роль storage.uploader на каталог example-folder:

    yc resource-manager folder add-access-binding example-folder \
        --role storage.uploader \
        --subject serviceAccount:<идентификатор_сервисного_аккаунта_trail-sa>
    

    Результат:

    done (1s)
    

    Подробнее о команде yc resource-manager folder add-access-binding см. в справочнике CLI.

Назначьте сервисному аккаунту bucket-yq-sa роль storage.viewer на каталог example-folder:

CLI
yc resource-manager folder add-access-binding example-folder \
    --role storage.viewer \
    --subject serviceAccount:<идентификатор_сервисного_аккаунта_bucket-yq-sa>

Результат:

done (1s)

Подробнее о команде yc resource-manager folder add-access-binding см. в справочнике CLI.

Создайте трейл

Консоль управления
  1. В консоли управления выберите каталог example-folder.
  2. Выберите сервис Audit Trails.
  3. Нажмите Создать трейл и укажите:
    • Имя — logsyq;
    • Ресурс — выберите Организация;
    • Организация — не требует заполнения, содержит имя текущей организации;
    • Назначение — Object Storage;
    • Бакет — bucket-yq;
    • Сервисный аккаунт — trail-sa;
    • Для остальных параметров оставьте значения по умолчанию.
  4. Нажмите кнопку Создать.

Создайте соединение между трейлом и YQ

Соединение необходимо создать только при первом подключении трейла к YQ.

Консоль управления
  1. В консоли управления выберите каталог example-folder.
  2. Выберите сервис Audit Trails.
  3. Выберите трейл logsyq.
  4. Нажмите Обработать в YQ.
  5. Создайте соединение:
    • выберите Сервисный аккаунт bucket-yq-sa;
    • для остальных параметров оставьте значения по умолчанию.
  6. Нажмите Создать.
  7. В окне с параметрами привязки к данным нажмите Создать.

Вы перейдете на страницу создания запроса к логам трейла.

Выполните запрос к логам в Object Storage

Откройте страницу создания аналитического запроса к логам Audit Trails:

Консоль управления
  1. В консоли управления выберите каталог с трейлом.
  2. В списке сервисов выберите Audit Trails.
  3. Выберите трейл, для которого настроено соединение с YQ.
  4. Нажмите Обработать в YQ, чтобы перейти на страницу выполнения аналитического запроса.

Выполните запросы событий для привязки audit-trails-logsyq-object_storage:

  1. Удаление каталога:

    1. Выберите в списке запрос 1. Найти, кто удалил каталог.

    2. Отредактируйте запрос, указав идентификатор каталога:

      SELECT * FROM bindings.`audit-trails-logsyq-object_storage`
      WHERE
          JSON_VALUE(data, "$.event_type") = 'yandex.cloud.audit.resourcemanager.DeleteFolder' 
          and JSON_VALUE(data, "$.details.folder_name") = '<идентификатор_каталога>' 
          LIMIT 100;
      
    3. Нажмите Выполнить.

  2. Включение доступа по серийной консоли:

    1. Выберите в списке запрос 6. Изменение ВМ — добавление доступа к серийной консоли.

    2. Отредактируйте запрос, указав количество отображаемых записей:

      SELECT * FROM bindings.`<audit-trails-logsyq-object_storage>`
      WHERE
          JSON_VALUE(data, "$.event_type") = 'yandex.cloud.audit.compute.UpdateInstance' 
          and JSON_VALUE(data, "$.details.metadata_serial_port_enable") = '1' 
          LIMIT <количество_записей>;
      
    3. Нажмите Выполнить.

  3. Изменение прав доступ к бакету Object Storage:

    1. Выберите в списке запрос 11. Подозрительные действия с хранилищем логов Audit Trails (Object Storage Bucket).

    2. Отредактируйте запрос, указав количество отображаемых записей:

      SELECT * FROM bindings.`audit-trails-logsyq-object_storage`
      WHERE
          (JSON_VALUE(data, "$.event_type") = 'yandex.cloud.audit.storage.BucketAclUpdate' 
          or JSON_VALUE(data, "$.event_type") = 'yandex.cloud.audit.storage.BucketPolicyUpdate') 
          LIMIT <количество_записей>;
      
    3. Нажмите Выполнить.

  4. Назначение права администратора:

    1. Выберите в списке запрос 20. Назначение прав admin (на ресурсы: folder, cloud).

    2. Отредактируйте запрос, указав количество отображаемых записей:

      SELECT * FROM bindings.`audit-trails-logsyq-object_storage`
      WHERE
          JSON_VALUE(data, "$.details.access_binding_deltas.access_binding.role_id") = 'admin' 
          LIMIT <количество_записей>;
      
    3. Нажмите Выполнить.

Как удалить созданные ресурсы

Если для выполнения руководства вы создали отдельный бакет, вы можете удалить его, чтобы перестать платить за использование бакета.

Была ли статья полезна?

Language / Region
Проект Яндекса
© 2023 ООО «Яндекс.Облако»
В этой статье:
  • Перед началом работы
  • Необходимые платные ресурсы
  • Подготовьте окружение
  • Создайте бакет для аудитных логов
  • Создайте сервисные аккаунты
  • Назначьте права сервисным аккаунтам
  • Создайте трейл
  • Создайте соединение между трейлом и YQ
  • Выполните запрос к логам в Object Storage
  • Как удалить созданные ресурсы