Обзор сервиса Yandex Audit Trails
Yandex Audit Trails позволяет собирать аудитные логи уровня конфигурации и аудитные логи уровня сервисов ресурсов Yandex Cloud и загружать их в бакет Object Storage, в поток данных Data Streams или в лог-группу Cloud Logging:
- Загрузка аудитных логов в бакет.
- Загрузка аудитных логов в Cloud Logging.
- Загрузка аудитных логов в поток данных.
Сбор аудитных логов позволяет применять инструменты анализа и оперативного реагирования на события Yandex Cloud:
- Поиск по аудитным логам в бакете.
- Поиск по аудитным логам в лог-группе.
- Загрузка аудитных логов в SIEM.
- Настройка алертов в Yandex Monitoring.
Логируются следующие события уровня конфигурации:
- Входы федеративных пользователей.
- Создание/удаление сервисных аккаунтов.
- Создание/удаление ключей сервисных аккаунтов.
- Изменение ролей пользователей и сервисных аккаунтов.
- Создание/удаление ресурсов.
- Изменение настроек ресурсов.
- Остановка/перезагрузка ресурса.
- Изменение политик доступа.
- Создание/изменение групп безопасности.
- Действия с ключами шифрования и секретами.
Существующие ограничения сервиса
В аудитный лог не попадают ошибки аутентификации. Например, если пользователь отправит к API запрос без IAM-токена, информации об этом не будет в аудитных логах.
Ошибки авторизации в аудитный лог попадают. Например, в логе будет сообщение об ошибке, если пользователь попытался создать ресурс, но у него не хватило разрешений.
В сервисе действуют квоты и лимиты.
Если вы загружаете аудитные логи в лог-группу или поток данных, то их размер не должен превышать как лимиты Audit Trails, так и лимиты сервисов Yandex Cloud Logging и Yandex Data Streams. При превышении лимитов информация в аудитных логах событий большого размера будет неполной.
При загрузке в Cloud Logging события в лог-группе могут дублироваться. Определить, является ли сохраненное в лог-группе событие дублем, вы можете по уникальному идентификатору записи json_payload.event_id.
Рекомендуем также загружать аудитные логи в бакет Object Storage.
Примечание
Срок хранения аудитных логов в трейле со статусом Error ограничен. Доставка логов старше 28 дней при возвращении трейла в статус Active не гарантируется.