Подключиться
Yandex Audit Trails

Поиск событий Yandex Cloud в Object Storage

Статья создана

Перед началом работы

  1. Установите и настройте программу s3fs или goofys, позволяющую монтировать бакеты Object Storage через FUSE.
  2. Смонтируйте бакет с аудитными логами к вашей файловой системе через s3fs или goofys.
  3. Установите утилиту jq для поиска по формату JSON.

  1. Для поиска по нескольким файлам используйте команду find. В качестве аргумента командной строки укажите путь к папке, к которой подключен бакет с аудитными логами, или ее подпапку с логами за определенный месяц или сутки.

    Пример команды для поиска событий по типу:

    find <путь к папке> -type f -exec cat {} \; | jq  '.[] | select( .event_type == "yandex.cloud.audit.iam.CreateServiceAccount")'

  2. Чтобы найти, кто удалил каталог в облаке, необходимо искать по полю eventType (тип события) по всем файлам за период с фильтром по идентификатору каталога:

    find <путь к папке> -type f -exec cat {} \; | jq  '.[] | select( .event_type == "yandex.cloud.audit.resourcemanager.DeleteFolder" and .details.folder_id == "<идентификатор каталога>") | .authentication'

  3. Чтобы найти, кто создал/остановил/перезапустил/удалил виртуальную машину, необходимо искать по полю eventType по всем файлам за период с фильтром по идентификатору ВМ:

    find <путь к папке> -type f -exec cat {} \; | jq  '.[] | select((.event_type | test("yandex\\.cloud\\.audit\\.compute\\..*Instance")) and .details.instance_id == "<идентификатор ВМ>") | .authentication'

  4. Чтобы найти, какие действия совершал пользователь за период времени, необходимо искать по идентификатору субъекта:

    find <путь к папке> -type f -exec cat {} \; | jq  '.[] | select(.authentication.subject_id == "<идентификатор пользователя>" and .event_time > "2021-03-01" and .event_time < "2021-04-01")'

    Так же можно искать по имени субъекта:

    find <путь к папке> -type f -exec cat {} \; | jq  '.[] | select(.authentication.subject_name == "<имя пользователя>" and .event_time > "2021-03-01" and .event_time < "2021-04-01")'

  5. Чтобы найти, какие события происходили по объектам определенного каталога, необходимо искать по идентификатору каталога:

    find <путь к папке> -type f -exec cat {} \; | jq  '.[] | select(.resource_metadata != null and .resource_metadata.path != null) | select( .resource_metadata.path[] | .resource_type == "resource-manager.folder" and .resource_id == "<идентификатор каталога>")'

    Так же можно искать по имени каталога:

    find <путь к папке> -type f -exec cat {} \; | jq  '.[] | select(.resource_metadata != null and .resource_metadata.path != null) | select( .resource_metadata.path[] | .resource_type == "resource-manager.folder" and .resource_name == "<имя каталога>")'

См. также

В этой статье: