Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Популярные
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • Машинное обучение
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Облако для интеграторов
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Контент-программа
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Истории успеха
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Документация
  • Блог
Проект Яндекса
© 2025 ООО «Яндекс.Облако»
Yandex Audit Trails
  • Начало работы
    • Обзор
    • Трейл
    • Лог диагностики
    • Сравнение логов событий уровня конфигурации и уровня сервисов
    • Аудитный лог событий уровня конфигурации
    • Аудитный лог событий уровня сервисов
    • Экспорт в SIEM
    • Квоты и лимиты
  • Управление доступом
  • Правила тарификации
  • Справочник Terraform
  • Метрики Monitoring
  • Справочник событий уровня конфигурации
  • Справочник событий уровня сервисов
  • История изменений
  • Обучающие курсы

В этой статье:

  • Схема данных
  • Представление аудитного лога
  • Файл аудитного лога в бакете
  • Запись в лог-группе
  1. Концепции
  2. Аудитный лог событий уровня сервисов

Аудитный лог событий уровня сервисов

Статья создана
Yandex Cloud
Обновлена 7 февраля 2025 г.
  • Схема данных
  • Представление аудитного лога
    • Файл аудитного лога в бакете
    • Запись в лог-группе

Отслеживайте события уровня сервисов, чтобы убедиться, что только авторизованные пользователи получают доступ к вашим данным и изменяют их. Это поможет обеспечить соответствие вашей облачной инфраструктуры нормативным правовым актам и отраслевым стандартам. Например, вы можете отслеживать получение сотрудниками доступа к конфиденциальным данным, хранящимся в бакетах.

Анализируйте логи событий уровня сервисов, чтобы оптимизировать использование ресурсов в вашей инфраструктуре. Так вы сможете определить наиболее часто используемые ресурсы и повысить их производительность. Или, наоборот, выявить редко используемые ресурсы, которые можно объединить или удалить для сокращения затрат.

Важно

При настройке сбора событий уровня сервисов для бакета Object Storage не рекомендуем выбирать этот же бакет в качестве объекта назначения загрузки логов. В этом случае может возникнуть автоматическая рекурсивная генерация логов аудита, что приведет к увеличению объема генерируемых логов (приблизительно на 16 МБ в месяц для всех событий одного трейла, сохраняемых в бакете).

Аудитный лог событий уровня сервисов — это запись о событиях, которые произошли с ресурсами Yandex Cloud, в форме JSON-объекта.

Формат записей универсален для всех событий. Значения некоторых полей определяются ресурсом-источником и типом события.

Объект события — ресурс сервиса, над которым производится операция. Субъект события — аккаунт, от имени которого производится операция.

Пример аудитного лога уровня сервисов при запросе содержимого секрета

Если федеративный пользователь запросит содержимое секрета в сервисе Yandex Lockbox, в аудитный лог попадет такая запись:

{
    "event_id": "<идентификатор_события>",
    "event_source": "lockbox",
    "event_type": "yandex.cloud.audit.lockbox.GetPayload",
    "event_time": "<дата_события>",
    "authentication": {
        "authenticated": true,
        "subject_type": "FEDERATED_USER_ACCOUNT",
        "subject_id": "<идентификатор_пользователя>",
        "subject_name": "<логин_пользователя>",
        "federation_id": "<идентификатор_федерации>",
        "federation_name": "<имя_федерации>",
        "federation_type": "<тип_федерации>"
    },
    "authorization": {
        "authorized": true
    },
    "resource_metadata": {
        "path": [
            {
                "resource_type": "organization-manager.organization",
                "resource_id": "<идентификатор_организации>",
                "resource_name": "<имя_организации>"
            },
            {
                "resource_type": "resource-manager.cloud",
                "resource_id": "<идентификатор_облака>",
                "resource_name": "<имя_облака>"
            },
            {
                "resource_type": "resource-manager.folder",
                "resource_id": "<идентификатор_каталога>",
                "resource_name": "<имя_каталога>"
            }
        ]
    },
    "request_metadata": {
        "remote_address": "cloud.yandex",
        "user_agent": "Yandex Cloud",
        "request_id": "<идентификатор_запроса>"
    },
    "event_status": "DONE",
    "details": {
        "secret_id": "<идентификатор_секрета>",
        "secret_name": "<имя_секрета>",
        "secret_version_id": "<идентификатор_версии_секрета>",
        "secret_kms_key_id": "<идентификатор_ключа_шифрования_секрета_в_KMS>",
        "secret_status": "<статус_секрета>",
        "secret_version_status": "<статус_версии_секрета>",
        "secret_version_payload_entry_keys": [
            "<ключи_записей_в_версии_секрета>"
        ]
    },
    "request_parameters": {
        "secret_id": "<идентификатор_секрета>",
        "version_id": "<идентификатор_версии_секрета>"
    },
    "response": {
        "version_id": "<идентификатор_версии>",
        "entry_keys": [
            "<ключи_записей>"
        ]
    }
}

Схема данныхСхема данных

{
  "event_id": string,
  "event_source": string,
  "event_type": string,
  "event_time": string,
  "authentication": {
    "authenticated": boolean,
    "subject_type": string,
    "subject_id": string,
    "subject_name": string,
    "federation_id": string,
    "federation_name": string,
    "federation_type": string,
    "token_info": {
      "masked_iam_token": string,
      "iam_token_id": string,
      "impersonator_id": string,
      "impersonator_type": string,
      "impersonator_name": string,
      "impersonator_federation_id": string,
      "impersonator_federation_name": string,
      "impersonator_federation_type": string
    }
  },
  "authorization": {
    "authorized": boolean
  },
  "resource_metadata": {
    "path": [{
      "resource_type": string,
      "resource_id": string,
      "resource_name": string
    }]
  },
  "request_metadata": {
    "remote_address": string,
    "user_agent": string,
    "request_id": string
  },
  "event_status": string,
  "error": {
    "code": number,
    "message": string,
    "details": {
      object
    }
  },
  "details": {
    object
  },
  "request_parameters": {
    object
  },
  "response": {
    object
  }
}
Поле Описание
event_id string
Идентификатор события.
event_source string
Имя сервиса-источника события.
event_type string
Тип события. Определяется сервисом-источником события. Подробнее смотрите в разделе Справочник событий уровня сервисов.
event_time string
Время, в которое произошло событие.
authentication 1 object
Данные аутентификации субъекта события.
authentication.authenticated boolean
Результат аутентификации. Возможные значения:
  • true — аутентификация успешна;
  • false — аутентификация неуспешна.
authentication.subject_type string
Тип субъекта. Возможные значения:
  • YANDEX_PASSPORT_USER_ACCOUNT— аккаунт на Яндексе;
  • SERVICE_ACCOUNT — сервисный аккаунт;
  • FEDERATED_USER_ACCOUNT — федеративный аккаунт.
authentication.subject_id string
Идентификатор субъекта.
authentication.subject_name string
Имя субъекта.
authentication.federation_id 2 string
Идентификатор федерации, в которой состоит федеративный пользователь.
authentication.federation_name 2 string
Имя федерации, в которой состоит федеративный пользователь.
authentication.federation_type 2 string
Тип федерации. Возможное значение:
  • PRIVATE_FEDERATION — федерация, управляемая клиентами Yandex Cloud.
authentication.token_info 1 object
Данные аутентификации субъекта события.
authentication.token_info.masked_iam_token string
Зашифрованное значение IAM-токена, с которым субъект выполнил запрос.
authentication.token_info.iam_token_id string
Идентификатор зашифрованного IAM-токена.
authentication.token_info.impersonator_id string
Идентификатор субъекта при использовании имперсонации.
authentication.token_info.impersonator_type string
Тип субъекта-имперсонатора. Возможные значения:
  • YANDEX_PASSPORT_USER_ACCOUNT— аккаунт на Яндексе;
  • SERVICE_ACCOUNT — сервисный аккаунт;
  • FEDERATED_USER_ACCOUNT — федеративный аккаунт.
authentication.token_info.impersonator_name string
Имя субъекта-имперсонатора.
authentication.token_info.impersonator_federation_id 2 string
Идентификатор федерации, в которой состоит федеративный пользователь-имперсонатор.
authentication.token_info.impersonator_federation_name 2 string
Имя федерации, в которой состоит федеративный пользователь-имперсонатор.
authentication.token_info.impersonator_federation_type 2 string
Тип федерации. Возможное значение:
  • PRIVATE_FEDERATION — федерация, управляемая клиентами Yandex Cloud.
authorization 1 object
Данные авторизации субъекта события.
authorization.authorized boolean
Результат авторизации. Возможные значения:
  • true — авторизация успешна;
  • false — авторизация неуспешна.
resource_metadata 1 object
Метаданные объекта события.
resource_metadata.path[] array
Путь к ресурсу в котором произошло событие.
resource_metadata.path[].resource_type string
Тип ресурса.
resource_metadata.path[].resource_id string
Идентификатор ресурса.
resource_metadata.path[].resource_name string
Имя ресурса.
request_metadata object
Данные о запросе, который инициировал событие.
request_metadata.remote_address string
IP-адрес субъекта события.
request_metadata.user_agent string
User-Agent субъекта события.
request_metadata.request_id string
Идентификатор запроса.
event_status string
Статус события. Определяется сервисом-источником и типом события. Возможные значения:
  • STARTED — операция начата;
  • ERROR — операция завершена с ошибкой;
  • DONE — операция завершена успешно;
  • CANCELLED — операция отменена.
error object
Статус ошибки. Объект типа google.rpc.Status:
  • code — код ошибки;
  • message — описание ошибки;
  • details — детали ошибки.
Заполняется только в случае ошибки.
details object
Детали события. Определяются сервисом-источником и типом события.
request_parameters 1 object
Параметры запроса.
response 1 object
Полученные данные.

1 Блок полей используется не для всех типов событий.
2 Поле доступно, когда subject_type = FEDERATED_USER_ACCOUNT.

Примечание

Если действие выполнил один из инфраструктурных сервисов Yandex Cloud или сотрудник поддержки, то в поле remote address будет значение cloud.yandex, а в поле user agent — Yandex Cloud.

Представление аудитного логаПредставление аудитного лога

В зависимости от объекта назначения — бакет или лог-группа — изменяется структура и содержимое сообщения, в составе которого Audit Trails передает объекту назначения аудитные логи:

  • для бакета — файл, в котором находится массив JSON-объектов аудитного лога;
  • для лог-группы — сообщение, в котором находится только один JSON-объект аудитного лога.

Файл аудитного лога в бакетеФайл аудитного лога в бакете

Шаблон полного имени файла аудитного лога в бакете:

<префикс_объекта>/<идентификатор_трейла>/<год>/<месяц>/<имя_файла.json>

Запись в лог-группеЗапись в лог-группе

Значения записей в лог-группе:

  • Время — значение поля event_time события.
  • JSON — JSON-объект события.
  • Уровень — вычисляется в зависимости от значения event_status события:
    • ERROR — для значения ERROR;
    • WARN — для значения CANCELLED;
    • INFO — в остальных случаях.
  • Сообщение — содержит значения полей event_status, event_type, subject_name, cloud_name, resource_name.

При загрузке в Cloud Logging события в лог-группе могут дублироваться. Чтобы найти дубли, ориентируйтесь на уникальный идентификатор записи json_payload.event_id.

Была ли статья полезна?

Предыдущая
Аудитный лог событий уровня конфигурации
Следующая
Экспорт в SIEM
Проект Яндекса
© 2025 ООО «Яндекс.Облако»