Yandex Cloud
  • Сервисы
  • Решения
  • Почему Yandex Cloud
  • Сообщество
  • Тарифы
  • Документация
  • Связаться с нами
Подключиться
Language / Region
Проект Яндекса
© 2023 ООО «Яндекс.Облако»
Yandex Audit Trails
  • Начало работы
  • Пошаговые инструкции
    • Все инструкции
    • Загрузка аудитных логов в Cloud Logging
      • Организация
      • Облако
      • Каталог
    • Загрузка аудитных логов в Data Streams
      • Организация
      • Облако
      • Каталог
    • Загрузка аудитных логов в Object Storage
      • Организация
      • Облако
      • Каталог
  • Практические руководства
    • Поиск событий Yandex Cloud в Yandex Query
    • Поиск событий Yandex Cloud в Object Storage
    • Поиск событий Yandex Cloud в Cloud Logging
    • Настройка алертов в Yandex Monitoring
    • Настройка реагирования в Cloud Functions
    • Загрузка аудитных логов в Yandex Managed Service for ClickHouse и визуализация данных в Yandex DataLens
    • Экспорт аудитных логов в SIEM
      • Загрузка аудитных логов в Yandex Managed Service for Elasticsearch
      • Загрузка аудитных логов в MaxPatrol SIEM
      • Загрузка аудитных логов в SIEM Splunk
      • Загрузка аудитных логов в SIEM ArcSight
  • Концепции
    • Обзор
    • Трейл
    • Аудитный лог событий
    • Справочник событий
    • Экспорт в SIEM
    • Квоты и лимиты
    • Метрики
  • Управление доступом
  • Правила тарификации
  1. Практические руководства
  2. Поиск событий Yandex Cloud в Object Storage

Поиск событий Yandex Cloud в Object Storage

Статья создана
Yandex Cloud
  • Перед началом работы
  • Сценарии поиска

Перед началом работы

  1. Установите и настройте программу s3fs или goofys, позволяющую монтировать бакеты Object Storage через FUSE.
  2. Смонтируйте бакет с аудитными логами к вашей файловой системе через s3fs или goofys.
  3. Установите утилиту jq для поиска по формату JSON.

Сценарии поиска

  1. Для поиска по нескольким файлам используйте команду find. В качестве аргумента командной строки укажите путь к папке, к которой подключен бакет с аудитными логами, или ее подпапку с логами за определенный месяц или сутки.

    Пример команды для поиска событий по типу:

    find <путь к папке> -type f -exec cat {} \; | jq  '.[] | select( .event_type == "yandex.cloud.audit.iam.CreateServiceAccount")'
    
  2. Чтобы найти, кто удалил каталог в облаке, необходимо искать по полю eventType (тип события) по всем файлам за период с фильтром по идентификатору каталога:

    find <путь к папке> -type f -exec cat {} \; | jq  '.[] | select( .event_type == "yandex.cloud.audit.resourcemanager.DeleteFolder" and .details.folder_id == "<идентификатор каталога>") | .authentication'
    
  3. Чтобы найти, кто создал/остановил/перезапустил/удалил виртуальную машину, необходимо искать по полю eventType по всем файлам за период с фильтром по идентификатору ВМ:

    find <путь к папке> -type f -exec cat {} \; | jq  '.[] | select((.event_type | test("yandex\\.cloud\\.audit\\.compute\\..*Instance")) and .details.instance_id == "<идентификатор ВМ>") | .authentication'
    
  4. Чтобы найти, какие действия совершал пользователь за период времени, необходимо искать по идентификатору субъекта:

    find <путь к папке> -type f -exec cat {} \; | jq  '.[] | select(.authentication.subject_id == "<идентификатор пользователя>" and .event_time > "2021-03-01" and .event_time < "2021-04-01")'
    

    Так же можно искать по имени субъекта:

    find <путь к папке> -type f -exec cat {} \; | jq  '.[] | select(.authentication.subject_name == "<имя пользователя>" and .event_time > "2021-03-01" and .event_time < "2021-04-01")'
    
  5. Чтобы найти, какие события происходили по объектам определенного каталога, необходимо искать по идентификатору каталога:

    find <путь к папке> -type f -exec cat {} \; | jq  '.[] | select(.resource_metadata != null and .resource_metadata.path != null) | select( .resource_metadata.path[] | .resource_type == "resource-manager.folder" and .resource_id == "<идентификатор каталога>")'
    

    Так же можно искать по имени каталога:

    find <путь к папке> -type f -exec cat {} \; | jq  '.[] | select(.resource_metadata != null and .resource_metadata.path != null) | select( .resource_metadata.path[] | .resource_type == "resource-manager.folder" and .resource_name == "<имя каталога>")'
    

См. также

  • Аудитный лог
  • Документация jq
  • s3fs
  • goofys

Была ли статья полезна?

Language / Region
Проект Яндекса
© 2023 ООО «Яндекс.Облако»
В этой статье:
  • Перед началом работы
  • Сценарии поиска