Обзор сервиса Yandex Audit Trails

Yandex Audit Trails позволяет собирать аудитные логи уровня конфигурации и аудитные логи уровня сервисов ресурсов Yandex Cloud и загружать их в бакет Object Storage, в поток данных Data Streams или в лог-группу Cloud Logging:

• Загрузка аудитных логов в бакет.
• Загрузка аудитных логов в Cloud Logging.
• Загрузка аудитных логов в поток данных.

Сбор аудитных логов позволяет применять инструменты анализа и оперативного реагирования на события Yandex Cloud:

• Поиск событий в аудитных логах.
• Загрузка аудитных логов в SIEM.
• Настройка алертов в Yandex Monitoring.

Логируются следующие события уровня конфигурации:

• Входы федеративных пользователей.
• Создание/удаление сервисных аккаунтов.
• Создание/удаление ключей сервисных аккаунтов.
• Изменение ролей пользователей и сервисных аккаунтов.
• Создание/удаление ресурсов.
• Изменение настроек ресурсов.
• Остановка/перезагрузка ресурса.
• Изменение политик доступа.
• Создание/изменение групп безопасности.
• Действия с ключами шифрования и секретами.

Существующие ограничения сервисаСуществующие ограничения сервиса

В аудитный лог не попадают ошибки аутентификации. Например, если пользователь отправит к API запрос без IAM-токена, информации об этом не будет в аудитных логах.

Ошибки авторизации в аудитный лог попадают. Например, в логе будет сообщение об ошибке, если пользователь попытался создать ресурс, но у него не хватило разрешений.

В сервисе действуют квоты и лимиты.

Если вы загружаете аудитные логи в лог-группу или поток данных, то их размер не должен превышать как лимиты Audit Trails, так и лимиты сервисов Yandex Cloud Logging и Yandex Data Streams. При превышении лимитов информация в аудитных логах событий большого размера будет неполной.

При загрузке в Cloud Logging события в лог-группе могут дублироваться. Чтобы найти дубли, ориентируйтесь на уникальный идентификатор записи json_payload.event_id.

Рекомендуем также загружать аудитные логи в бакет Object Storage.