Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Популярные
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • Машинное обучение
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Облако для интеграторов
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Контент-программа
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Истории успеха
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Документация
  • Блог
Проект Яндекса
© 2025 ООО «Яндекс.Облако»
Yandex Audit Trails
  • Начало работы
    • Обзор
    • Трейл
    • Лог диагностики
    • Сравнение логов событий уровня конфигурации и уровня сервисов
    • Аудитный лог событий уровня конфигурации
    • Аудитный лог событий уровня сервисов
    • Экспорт в SIEM
    • Квоты и лимиты
  • Управление доступом
  • Правила тарификации
  • Справочник Terraform
  • Метрики Monitoring
  • Справочник событий уровня конфигурации
  • Справочник событий уровня сервисов
  • История изменений
  • Обучающие курсы

В этой статье:

  • Схема данных
  • Представление аудитного лога
  • Файл аудитного лога в бакете
  • Запись в лог-группе
  1. Концепции
  2. Аудитный лог событий уровня конфигурации

Аудитный лог событий уровня конфигурации

Статья создана
Yandex Cloud
Обновлена 7 февраля 2025 г.
  • Схема данных
  • Представление аудитного лога
    • Файл аудитного лога в бакете
    • Запись в лог-группе

Аудитный лог событий уровня конфигурации — это запись о событиях, которые произошли с ресурсами Yandex Cloud, в форме JSON-объекта.

Формат записей универсален для всех событий. Значения некоторых полей определяются ресурсом-источником и типом события.

Объект события — ресурс сервиса, над которым производится операция. Субъект события — аккаунт, от имени которого производится операция.

Пример аудитного лога уровня конфигурации при создании ВМ

Если федеративный пользователь создаст в сервисе Yandex Compute Cloud ВМ, в аудитный лог попадет такая запись:

{
    "event_id": "<идентификатор_события>",
    "event_source": "compute",
    "event_type": "yandex.cloud.audit.compute.CreateInstance",
    "event_time": "<дата_события>",
    "authentication": {
        "authenticated":true,
        "subject_type": "FEDERATED_USER_ACCOUNT",
        "subject_id": "<идентификатор_пользователя>",
        "subject_name": "<логин_пользователя>",
        "federation_id": "<идентификатор_федерации>",
        "federation_name": "<имя_федерации>",
        "federation_type": "<тип_федерации>"
    },
    "authorization": {
        "authorized":true
    },
    "resource_metadata": {
        "path":[
            {
                "resource_type": "organization-manager.organization",
                "resource_id": "<идентификатор_организации>",
                "resource_name": "<имя_организации>"
            },
            {
                "resource_type": "resource-manager.cloud",
                "resource_id": "<идентификатор_облака>",
                "resource_name": "<имя_облака>"
            },
            {
                "resource_type": "resource-manager.folder",
                "resource_id": "<идентификатор_каталога>",
                "resource_name": "<имя_каталога>"
            }
        ]
    },
    "request_metadata": {
        "remote_address": "cloud.yandex",
        "user_agent": "Yandex Cloud",
        "request_id": "<идентификатор_запроса>"
    },
    "event_status": "DONE",
    "details": {
        "instance_id": "<идентификатор_ВМ>",
        "instance_name": "<имя_ВМ>",
        "zone_id": "<зона_доступности_ВМ>",
        "platform_id": "standard-v3",
        "metadata_keys":[
            "ssh-keys",
            "user-data",
            "install-unified-agent"
        ],
        "network_settings": {
            "type": "STANDARD"
        },
        "placement_policy": {
        },
        "os": {
            "type": "LINUX"
        },
        "product_ids":[
            "<идентификатор_образа>"
        ],
        "resources": {
            "memory": "2147483648",
            "cores": "2",
            "core_fraction": "100"
        },
        "boot_disk": {
            "mode": "READ_WRITE",
            "device_name": "<имя_диска>",
            "auto_delete":true,
            "disk_id": "<идентификатор_диска>"
        },
        "network_interfaces":[
            {
                "index": "0",
                "mac_address": "<mac_адрес_ВМ>",
                "subnet_id": "<идентификатор_подсети>",
                "primary_v4_address": {
                    "address": "<внутренний_адрес_ВМ>",
                    "one_to_one_nat": {
                        "address": "<внешний_адрес_ВМ>",
                        "ip_version": "IPV4"
                    }
                }
            }
        ],
        "fqdn": "внутренний_fqdn_ВМ"
    }
}

Схема данныхСхема данных

{
  "event_id": string,
  "event_source": string,
  "event_type": string,
  "event_time": string,
  "authentication": {
    "authenticated": boolean,
    "subject_type": string,
    "subject_id": string,
    "subject_name": string,
    "federation_id": string,
    "federation_name": string,
    "federation_type": string,
    "token_info": {
      "masked_iam_token": string,
      "iam_token_id": string,
      "impersonator_id": string,
      "impersonator_type": string,
      "impersonator_name": string,
      "impersonator_federation_id": string,
      "impersonator_federation_name": string,
      "impersonator_federation_type": string
    }
  },
  "authorization": {
    "authorized": boolean
  },
  "resource_metadata": {
    "path": [{
      "resource_type": string,
      "resource_id": string,
      "resource_name": string
    }]
  },
  "request_metadata": {
    "remote_address": string,
    "user_agent": string,
    "request_id": string
  },
  "event_status": string,
  "error": {
    "code": number,
    "message": string,
    "details": {
      object
    }
  },
  "details": {
    object
  },
  "request_parameters": {
    object
  },
  "response": {
    object
  }
}
Поле Описание
event_id string
Идентификатор события.
event_source string
Имя сервиса-источника события.
event_type string
Тип события. Определяется сервисом-источником события. Подробнее смотрите в разделе Справочник событий уровня сервисов.
event_time string
Время, в которое произошло событие.
authentication 1 object
Данные аутентификации субъекта события.
authentication.authenticated boolean
Результат аутентификации. Возможные значения:
  • true — аутентификация успешна;
  • false — аутентификация неуспешна.
authentication.subject_type string
Тип субъекта. Возможные значения:
  • YANDEX_PASSPORT_USER_ACCOUNT— аккаунт на Яндексе;
  • SERVICE_ACCOUNT — сервисный аккаунт;
  • FEDERATED_USER_ACCOUNT — федеративный аккаунт.
authentication.subject_id string
Идентификатор субъекта.
authentication.subject_name string
Имя субъекта.
authentication.federation_id 2 string
Идентификатор федерации, в которой состоит федеративный пользователь.
authentication.federation_name 2 string
Имя федерации, в которой состоит федеративный пользователь.
authentication.federation_type 2 string
Тип федерации. Возможное значение:
  • PRIVATE_FEDERATION — федерация, управляемая клиентами Yandex Cloud.
authentication.token_info 1 object
Данные аутентификации субъекта события.
authentication.token_info.masked_iam_token string
Зашифрованное значение IAM-токена, с которым субъект выполнил запрос.
authentication.token_info.iam_token_id string
Идентификатор зашифрованного IAM-токена.
authentication.token_info.impersonator_id string
Идентификатор субъекта при использовании имперсонации.
authentication.token_info.impersonator_type string
Тип субъекта-имперсонатора. Возможные значения:
  • YANDEX_PASSPORT_USER_ACCOUNT— аккаунт на Яндексе;
  • SERVICE_ACCOUNT — сервисный аккаунт;
  • FEDERATED_USER_ACCOUNT — федеративный аккаунт.
authentication.token_info.impersonator_name string
Имя субъекта-имперсонатора.
authentication.token_info.impersonator_federation_id 2 string
Идентификатор федерации, в которой состоит федеративный пользователь-имперсонатор.
authentication.token_info.impersonator_federation_name 2 string
Имя федерации, в которой состоит федеративный пользователь-имперсонатор.
authentication.token_info.impersonator_federation_type 2 string
Тип федерации. Возможное значение:
  • PRIVATE_FEDERATION — федерация, управляемая клиентами Yandex Cloud.
authorization 1 object
Данные авторизации субъекта события.
authorization.authorized boolean
Результат авторизации. Возможные значения:
  • true — авторизация успешна;
  • false — авторизация неуспешна.
resource_metadata 1 object
Метаданные объекта события.
resource_metadata.path[] array
Путь к ресурсу в котором произошло событие.
resource_metadata.path[].resource_type string
Тип ресурса.
resource_metadata.path[].resource_id string
Идентификатор ресурса.
resource_metadata.path[].resource_name string
Имя ресурса.
request_metadata object
Данные о запросе, который инициировал событие.
request_metadata.remote_address string
IP-адрес субъекта события.
request_metadata.user_agent string
User-Agent субъекта события.
request_metadata.request_id string
Идентификатор запроса.
event_status string
Статус события. Определяется сервисом-источником и типом события. Возможные значения:
  • STARTED — операция начата;
  • ERROR — операция завершена с ошибкой;
  • DONE — операция завершена успешно;
  • CANCELLED — операция отменена.
error object
Статус ошибки. Объект типа google.rpc.Status:
  • code — код ошибки;
  • message — описание ошибки;
  • details — детали ошибки.
Заполняется только в случае ошибки.
details object
Детали события. Определяются сервисом-источником и типом события.
request_parameters 1 object
Параметры запроса.
response 1 object
Полученные данные.

1 Блок полей используется не для всех типов событий.
2 Поле доступно, когда subject_type = FEDERATED_USER_ACCOUNT.

Примечание

Если действие выполнил один из инфраструктурных сервисов Yandex Cloud или сотрудник поддержки, то в поле remote address будет значение cloud.yandex, а в поле user agent — Yandex Cloud.

Представление аудитного логаПредставление аудитного лога

В зависимости от объекта назначения — бакет или лог-группа — изменяется структура и содержимое сообщения, в составе которого Audit Trails передает объекту назначения аудитные логи:

  • для бакета — файл, в котором находится массив JSON-объектов аудитного лога;
  • для лог-группы — сообщение, в котором находится только один JSON-объект аудитного лога.

Файл аудитного лога в бакетеФайл аудитного лога в бакете

Шаблон полного имени файла аудитного лога в бакете:

<префикс_объекта>/<идентификатор_трейла>/<год>/<месяц>/<имя_файла.json>

Запись в лог-группеЗапись в лог-группе

Значения записей в лог-группе:

  • Время — значение поля event_time события.
  • JSON — JSON-объект события.
  • Уровень — вычисляется в зависимости от значения event_status события:
    • ERROR — для значения ERROR;
    • WARN — для значения CANCELLED;
    • INFO — в остальных случаях.
  • Сообщение — содержит значения полей event_status, event_type, subject_name, cloud_name, resource_name.

При загрузке в Cloud Logging события в лог-группе могут дублироваться. Чтобы найти дубли, ориентируйтесь на уникальный идентификатор записи json_payload.event_id.

Была ли статья полезна?

Предыдущая
Сравнение логов событий уровня конфигурации и уровня сервисов
Следующая
Аудитный лог событий уровня сервисов
Проект Яндекса
© 2025 ООО «Яндекс.Облако»