Подготовка спецификации трейла

name: <имя_трейла>
folder_id: <идентификатор_каталога>
destination:
  # Должно быть указано только одно место назначения:
  # object_storage, cloud_logging, data_stream или eventrouter
  # Настройки для всех мест назначения приведены для иллюстрации
  object_storage:
    bucket_id: <имя_бакета>
    object_prefix: <префикс_для_объектов>
  cloud_logging:
    log_group_id: <идентификатор_лог_группы>
  data_stream:
    stream_name: <имя_потока_данных_YDS>
    database_id: <идентификатор_базы_данных_YDS>
    codec: <метод_сжатия_событий>
  eventrouter:
    eventrouter_connector_id: <идентификатор_коннектора_шины>
service_account_id: <идентификатор_сервисного_аккаунта>
filtering_policy:
  management_events_filter:
    resource_scopes:
      - id: <идентификатор_организации_облака_или_каталога>
        type: <тип>
  data_events_filters:
    - service: <имя_сервиса>
      resource_scopes:
        - id: <идентификатор_организации_облака_или_каталога>
          type: <тип>
      # Допустимо указать либо included_events, либо excluded_events,
      # либо не указывать оба этих параметра, чтобы собирались все события сервиса
      # Оба параметра приведены для иллюстрации
      included_events:
        event_types:
          - <эти_события_будут_собираться>
      excluded_events:
        event_types:
          - <эти_события_не_будут_собираться>

Где:

• name — имя трейла. Оно должно быть уникальным в рамках каталога.
• folder_id — идентификатор каталога, в котором будет размещен трейл.

• destination — настройки выбранного места назначения, куда будут загружаться аудитные логи.

  Важно

  Настройки мест назначения взаимоисключающие. Использование одних настроек делает невозможным использование других.

  • object_storage — загружать логи в бакет Yandex Object Storage:

    • bucket_id — имя бакета.

      Имя бакета можно запросить со списком бакетов в каталоге (используется каталог по умолчанию):

      yc storage bucket list
      

    • object_prefix — префикс, который будет присвоен объектам с аудитными логами в бакете. Необязательный параметр, участвует в полном имени файла аудитного лога.

      Примечание

      Используйте префикс, если вы храните аудитные логи и сторонние данные в одном и том же бакете. Не используйте одинаковый префикс для логов и других объектов в бакете, так как в этом случае логи и сторонние объекты могут перезаписать друг друга.

  • cloud_logging — загружать логи в лог-группу Yandex Cloud Logging.

    В параметре log_group_id укажите идентификатор лог-группы. Идентификатор можно запросить со списком лог-групп в каталоге.

  • data_stream — загружать логи в поток данных Yandex Data Streams:

    • stream_name — имя потока данных. Имя можно запросить со списком потоков данных в каталоге.
    • database_id — идентификатор базы данных YDB, которая используется потоком данных Data Streams. Идентификатор можно запросить со списком баз данных YDB в каталоге.

• service_account_id — идентификатор сервисного аккаунта.

• filtering_policy — настройки политики фильтрации, которая определяет, какие события будут собираться и попадут в аудитные логи. Политика состоит из набора фильтров, которые относятся к разным уровням событий.

  Важно

  Для политики обязательно должен быть настроен хотя бы один фильтр, иначе не получится создать трейл.

  Доступные фильтры:

  • management_events_filter — фильтр событий уровня конфигурации.

    Укажите область сбора логов в параметре resource_scopes:

    • id — идентификатор организации, облака или каталога.

    • type — тип области согласно указанному идентификатору:

      • organization-manager.organization — организация;
      • resource-manager.cloud — облако;
      • resource-manager.folder — каталог.

    Можно комбинировать в одном параметре resource_scopes несколько областей, которые принадлежат одной организации. Например, собирать логи из одного облака целиком, а из другого — только из определенных каталогов:

    resource_scopes:
    # Сбор логов из облака 1 целиком
    - id: <идентификатор_облака_1>
        type: resource-manager.cloud
    # Сбор логов из каталога 1 облака 2
    - id: <идентификатор_каталога_1>
        type: resource-manager.folder
    # Сбор логов из каталога 2 облака 2
    - id: <идентификатор_каталога_2>
        type: resource-manager.folder
    

    Права сервисного аккаунта должны позволять сбор логов из указанных областей.

  • data_events_filters — фильтры событий уровня сервисов. Можно настроить несколько фильтров такого типа — по одному для каждого сервиса.

    Фильтр для одного сервиса имеет следующую структуру:

    • service — имя сервиса. Его можно получить в справочнике событий уровня сервисов.

    • resource_scopes — места, откуда собирать события уровня сервисов. Этот параметр настраивается аналогично фильтру событий уровня конфигурации.

    • *_events — фильтры событий уровня сервиса:

      • included_events.event_types — собирать только указанные события.
      • excluded_events.event_types — собирать все события, кроме указанных.

      Перечень событий можно получить в справочнике событий уровня сервисов.

      Важно

      Фильтры included_events и excluded_events взаимоисключающие, настройте только один из них. Если оба фильтра не настроены, будут собираться все события.