Подключиться
Yandex Audit Trails

Поиск событий Yandex Cloud в Yandex Query

Статья создана

В Yandex Query интегрирована поддержка Audit Trails. Вы можете анализировать события ресурсов Yandex Cloud, выполняя аналитические и потоковые запросы на языке YQL.

Аналитические запросы можно выполнять для логов, которые хранятся в бакете, а потоковые — для логов в потоке данных Yandex Data Streams.

Чтобы подключить бакет с аудитными логами к Yandex Query и выполнить запросы на языке YQL:

  1. Подготовьте окружение.
  2. Создайте соединение между трейлом и YQ.
  3. Выполните запрос к логам в Object Storage.

Если созданные ресурсы вам больше не нужны, удалите их.

Перед началом работы

Перед работой нужно зарегистрироваться в Yandex Cloud и создать платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь, если вы еще не зарегистрированы.
  2. На странице биллинга убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

В стоимость поддержки инфраструктуры входит плата за использование бакета (см. тарифы Object Storage).

Подготовьте окружение

Создайте бакет для аудитных логов

  1. В консоли управления перейдите в каталог, в котором хотите создать бакет, например example-folder.
  2. Выберите сервис Object Storage.
  3. Нажмите Создать бакет.
  4. На странице создания бакета:
    • укажите Имяbucket-yq;
    • для остальных параметров оставьте значения по умолчанию.
  5. Нажмите Создать бакет.

Создайте сервисные аккаунты

Создайте сервисный аккаунт trail-sa:

  1. В консоли управления перейдите в каталог example-folder.
  2. Перейдите на вкладку Сервисные аккаунты.
  3. Нажмите Создать сервисный аккаунт.
  4. Укажите Имяtrail-sa.
  5. Нажмите кнопку Создать.

Аналогично создайте сервисный аккаунт с именем bucket-yq-sa.

Назначьте права сервисным аккаунтам

Назначьте сервисному аккаунту trail-sa роли audit-trails.viewer и storage.uploader:

  1. Роль audit-trails.viewer на организацию:

    yc organization-manager organization add-access-binding \
--role audit-trails.viewer \
--id <идентификатор_организации> \
--service-account-id <идентификатор_сервисного_аккаунта_trail-sa>

    Результат:

    done (1s)

    Подробнее о команде yc organization-manager organization add-access-binding см. в справочнике CLI.

  2. Роль storage.uploader на каталог example-folder:

    yc resource-manager folder add-access-binding example-folder \
    --role storage.uploader \
    --subject serviceAccount:<идентификатор_сервисного_аккаунта_trail-sa>

    Результат:

    done (1s)

    Подробнее о команде yc resource-manager folder add-access-binding см. в справочнике CLI.

Назначьте сервисному аккаунту bucket-yq-sa роль storage.viewer на каталог example-folder:

yc resource-manager folder add-access-binding example-folder \
    --role storage.viewer \
    --subject serviceAccount:<идентификатор_сервисного_аккаунта_bucket-yq-sa>

Результат:

done (1s)

Подробнее о команде yc resource-manager folder add-access-binding см. в справочнике CLI.

Создайте трейл

  1. В консоли управления выберите каталог example-folder.
  2. Выберите сервис Audit Trails.
  3. Нажмите Создать трейл и укажите:
    • Имяlogsyq;
    • Ресурс — выберите Организация;
    • Организация — не требует заполнения, содержит имя текущей организации;
    • НазначениеObject Storage;
    • Бакетbucket-yq;
    • Сервисный аккаунтtrail-sa;
    • Для остальных параметров оставьте значения по умолчанию.
  4. Нажмите кнопку Создать.

Создайте соединение между трейлом и YQ

Соединение необходимо создать только при первом подключении трейла к YQ.

  1. В консоли управления выберите каталог example-folder.
  2. Выберите сервис Audit Trails.
  3. Выберите трейл logsyq.
  4. Нажмите Обработать в YQ.
  5. Создайте соединение:
    • выберите Сервисный аккаунт bucket-yq-sa;
    • для остальных параметров оставьте значения по умолчанию.
  6. Нажмите Создать.
  7. В окне с параметрами привязки к данным нажмите Создать.

Вы перейдете на страницу создания запроса к логам трейла.

Выполните запрос к логам в Object Storage

Откройте страницу создания аналитического запроса к логам Audit Trails:

  1. В консоли управления выберите каталог с трейлом.
  2. В списке сервисов выберите Audit Trails.
  3. Выберите трейл, для которого настроено соединение с YQ.
  4. Нажмите Обработать в YQ, чтобы перейти на страницу выполнения аналитического запроса.

Выполните запросы событий для привязки audit-trails-logsyq-object_storage:

  1. Удаление каталога:

    1. Выберите в списке запрос 1. Найти, кто удалил каталог.

    2. Отредактируйте запрос, указав идентификатор каталога:

      SELECT * FROM bindings.`audit-trails-logsyq-object_storage`
WHERE
    JSON_VALUE(data, "$.event_type") = 'yandex.cloud.audit.resourcemanager.DeleteFolder' 
    and JSON_VALUE(data, "$.details.folder_name") = '<идентификатор_каталога>' 
    LIMIT 100;

    3. Нажмите Выполнить.

  2. Включение доступа по серийной консоли:

    1. Выберите в списке запрос 6. Изменение ВМ — добавление доступа к серийной консоли.

    2. Отредактируйте запрос, указав количество отображаемых записей:

      SELECT * FROM bindings.`<audit-trails-logsyq-object_storage>`
WHERE
    JSON_VALUE(data, "$.event_type") = 'yandex.cloud.audit.compute.UpdateInstance' 
    and JSON_VALUE(data, "$.details.metadata_serial_port_enable") = '1' 
    LIMIT <количество_записей>;

    3. Нажмите Выполнить.

  3. Изменение прав доступ к бакету Object Storage:

    1. Выберите в списке запрос 11. Подозрительные действия с хранилищем логов Audit Trails (Object Storage Bucket).

    2. Отредактируйте запрос, указав количество отображаемых записей:

      SELECT * FROM bindings.`audit-trails-logsyq-object_storage`
WHERE
    (JSON_VALUE(data, "$.event_type") = 'yandex.cloud.audit.storage.BucketAclUpdate' 
    or JSON_VALUE(data, "$.event_type") = 'yandex.cloud.audit.storage.BucketPolicyUpdate') 
    LIMIT <количество_записей>;

    3. Нажмите Выполнить.

  4. Назначение права администратора:

    1. Выберите в списке запрос 20. Назначение прав admin (на ресурсы: folder, cloud).

    2. Отредактируйте запрос, указав количество отображаемых записей:

      SELECT * FROM bindings.`audit-trails-logsyq-object_storage`
WHERE
    JSON_VALUE(data, "$.details.access_binding_deltas.access_binding.role_id") = 'admin' 
    LIMIT <количество_записей>;

    3. Нажмите Выполнить.

Как удалить созданные ресурсы

Если для выполнения руководства вы создали отдельный бакет, вы можете удалить его, чтобы перестать платить за использование бакета.

В этой статье: