Загрузка аудитных логов облака в Object Storage
По этой инструкции вы создадите новый трейл, который будет загружать аудитные логи уровня конфигурации всех ресурсов и (опционально) аудитные логи уровня сервисов выбранных сервисов отдельного облака в бакет Object Storage.
Совет
Чтобы дополнительно защитить аудитные логи, зашифруйте бакет.
Подготовить окружение
Для сбора аудитных логов отдельного облака:
-
Создайте новый бакет с ограниченным доступом для загрузки в него аудитных логов.
-
Создайте сервисный аккаунт.
-
Назначьте роли сервисному аккаунту:
CLIЕсли у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра
--folder-name
или--folder-id
.-
Назначьте роль
audit-trails.viewer
на облако, со всех ресурсов которого будут собираться аудитные логи:yc resource-manager cloud add-access-binding \ --role audit-trails.viewer \ --id <идентификатор_облака> \ --service-account-id <идентификатор_сервисного_аккаунта>
Где:
--role
— назначаемая роль;--id
— идентификатор облака, с которого будут собираться аудитные логи;--service-account-id
— идентификатор сервисного аккаунта.
-
Назначьте роль
storage.uploader
на каталог, в котором будет находиться трейл:yc resource-manager folder add-access-binding \ --role storage.uploader \ --id <идентификатор_каталога> \ --service-account-id <идентификатор_сервисного_аккаунта>
Где:
--role
— назначаемая роль;--id
— идентификатор каталога, в котором будет находиться трейл;--service-account-id
— идентификатор сервисного аккаунта.
-
-
На странице Права доступа
убедитесь, что у вас есть роли:iam.serviceAccounts.user
на сервисный аккаунт;audit-trails.editor
на каталог, где будет находиться трейл;audit-trails.viewer
на облако, с которого будут собираться аудитные логи;kms.editor
на каталог, в котором будет создан ключ шифрования для бакета;storage.viewer
на бакет или каталог.
Зашифровать бакет
Чтобы хранить логи в зашифрованном виде:
-
Создайте симметричный ключ шифрования в сервисе Yandex Key Management Service.
-
Включите шифрование бакета, используя созданный ключ.
-
Назначьте сервисному аккаунту, который вы создали ранее, роль
kms.keys.encrypter
на ключ, чтобы загружать логи в зашифрованный бакет:yc kms symmetric-key add-access-binding \ --role kms.keys.encrypter \ --id <идентификатор_ключа> \ --service-account-id <идентификатор_сервисного_аккаунта>
Где:
--role
— назначаемая роль;--id
— идентификатор ключа шифрования;--service-account-id
— идентификатор сервисного аккаунта.
Создать трейл
Чтобы создать первый трейл в Audit Trails и запустить процесс управления аудитными логами:
-
В консоли управления
выберите каталог, в котором вы хотите разместить трейл. -
Выберите сервис Audit Trails.
-
Нажмите кнопку Создать трейл и укажите:
- Имя — имя создаваемого трейла.
- Описание — описание трейла, необязательный параметр.
-
В блоке Назначение задайте параметры объекта назначения:
- Назначение —
Object Storage
. - Бакет — выберите бакет, в который будут загружаться аудитные логи.
- Префикс объекта — необязательный параметр, участвует в полном имени файла аудитного лога.
Примечание
Используйте префикс, если вы храните аудитные логи и сторонние данные в одном и том же бакете. Не используйте одинаковый префикс для логов и других объектов в бакете, так как в этом случае логи и сторонние объекты могут перезаписать друг друга.
- Ключ шифрования — если выбранный бакет зашифрован, укажите ключ шифрования.
- Назначение —
-
В блоке Сервисный аккаунт выберите сервисный аккаунт, от имени которого трейл будет загружать файлы аудитного лога в бакет.
-
В блоке Сбор событий c уровня конфигурации задайте параметры сбора аудитных логов уровня конфигурации:
- Сбор событий — выберите
Включено
. - Ресурс — выберите
Облако
. - Облако — не требует заполнения, содержит имя облака, в котором будет находиться трейл.
- Каталог — оставьте значение по умолчанию
Все
.
- Сбор событий — выберите
-
(опционально) В блоке Сбор событий с уровня сервисов задайте параметры сбора аудитных логов уровня сервисов:
-
Сбор событий — выберите
Включено
. -
Выберите сервисы, для которых вы хотите собирать аудитные логи.
-
Для каждого выбранного сервиса укажите область сбора аудитных логов и тип фильтра событий:
Получать все
— чтобы получать все события сервиса.Выбранные
— чтобы получать только выбранные события. Затем выберите события.Исключить
— чтобы получать все события, кроме выбранных. Затем выберите события.
-
-
Нажмите кнопку Создать.
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name
или --folder-id
.
-
Посмотрите описание команды CLI для создания трейла:
yc audit-trails trail create --help
-
Выполните команду, чтобы создать трейл для сбора аудитных логов уровня конфигурации в облаке:
yc audit-trails trail create \ --name <имя_трейла> \ --description "<описание_трейла>" \ --service-account-id <идентификатор_сервисного_аккаунта> \ --destination-bucket <имя_бакета> \ --destination-bucket-object-prefix <префикс_в_бакете> \ --filter-from-cloud-id <идентификатор_облака> \ --filter-some-folder-ids <список_каталогов_в_облаке>
Где:
-
--name
— имя создаваемого трейла.
Требования к формату имени:- длина — от 2 до 63 символов;
- может содержать строчные буквы латинского алфавита, цифры и дефисы;
- первый символ — буква, последний — не дефис.
-
--description
— описание трейла, которое позволит отличать его от других трейлов. Например--description "My very first trail"
. Необязательный параметр. -
--service-account-id
— идентификатор сервисного аккаунта, от имени которого трейл будет загружать файлы аудитного лога в бакет.В зависимости от области сбора аудитных логов, сервисному аккаунту должна быть назначена роль
audit-trails.viewer
на организацию, облако или каталог, в которых трейл будет собирать аудитные логи.
-
--destination-bucket
— имя бакета, в который будут загружаться аудитные логи.
Чтобы получить список бакетов в каталоге по умолчанию, выполните команду CLIyc storage bucket list
. -
--destination-bucket-object-prefix
— префикс, который будет присвоен объектам с аудитными логами в бакете. Необязательный параметр, участвует в полном имени файла аудитного лога.Примечание
Используйте префикс, если вы храните аудитные логи и сторонние данные в одном и том же бакете. Не используйте одинаковый префикс для логов и других объектов в бакете, так как в этом случае логи и сторонние объекты могут перезаписать друг друга.
-
--filter-from-cloud-id
— идентификатор облака, которому принадлежит создаваемый трейл и для ресурсов которого будут собираться аудитные логи.При использовании параметра
--filter-from-cloud-id
необходимо также задать идентификаторы каталогов в параметре--filter-some-folder-ids
.Использование параметра
--filter-from-cloud-id
исключает использование параметра--filter-all-cloud-id
. -
--filter-some-folder-ids
— список идентификаторов каталогов, для ресурсов которых трейл будет собирать аудитные логи. Используйте этот параметр только в том случае, если задан параметр---filter-from-cloud-id
.Указанные в параметре каталоги должны принадлежать облаку, заданному в параметре
--filter-from-cloud-id
.Если аудитные логи нужно собирать во всех каталогах, принадлежащих облаку, используйте параметр
--filter-all-cloud-id
. -
--filter-all-cloud-id
— идентификатор облака, которому принадлежит создаваемый трейл и для всех ресурсов во всех каталогах которого будут собираться аудитные логи.Использование параметра
--filter-all-cloud-id
исключает использование параметра--filter-from-cloud-id
.
Результат:
done (1s) id: cnp7etovm46r******** folder_id: b1g9d2k0itu4******** created_at: "2024-04-01T09:11:06.994Z" updated_at: "2024-04-01T09:11:06.994Z" name: sample-trail description: My very first trail destination: object_storage: bucket_id: at-destination-bucket object_prefix: sample-trail-audit-logs service_account_id: ajeee339l4m5******** status: ACTIVE filter: path_filter: root: some_filter: resource: id: b1glti4eser3******** type: resource-manager.cloud filters: - any_filter: resource: id: b1g9d2k0itu4******** type: resource-manager.folder - any_filter: resource: id: b1gp73knqj0u******** type: resource-manager.folder event_filter: {} cloud_id: b1glti4eser3********
-
-
Чтобы создать трейл для сбора аудитных логов уровня конфигурации и уровня сервисов, используйте файл с YAML-спецификацией трейла.
-
Создайте файл конфигурации трейла, например
specification.yaml
:specification.yaml
folder_id: b1g9d2k0itu4******** name: sample-trail description: My very first trail labels: key: value destination: object_storage: bucket_id: at-destination-bucket object_prefix: sample-trail-audit-logs service_account_id: ajeee339l4m5******** filter: path_filter: root: some_filter: resource: id: b1glti4eser3******** type: resource-manager.cloud filters: - any_filter: resource: id: b1g9d2k0itu4******** type: resource-manager.folder - any_filter: resource: id: b1gp73knqj0u******** type: resource-manager.folder event_filter: filters: - service: mdb.postgresql categories: - plane: DATA_PLANE type: WRITE path_filter: root: some_filter: resource: id: b1glti4eser3******** type: resource-manager.cloud filters: - any_filter: resource: id: b1g9d2k0itu4******** type: resource-manager.folder - any_filter: resource: id: b1gp73knqj0u******** type: resource-manager.folder - service: dns categories: - plane: DATA_PLANE type: READ path_filter: root: any_filter: resource: id: b1glti4eser3******** type: resource-manager.cloud
Описание спецификации
-
folder_id
— идентификатор каталога, в котором создается трейл. -
name
— имя создаваемого трейла. Требования к формату имени:- длина — от 2 до 63 символов;
- может содержать строчные буквы латинского алфавита, цифры и дефисы;
- первый символ — буква, последний — не дефис.
-
description
— описание трейла, которое позволит отличать его от других трейлов. НапримерMy very first trail
. Необязательный параметр. -
labels
— список меток в форматеключ=значение
. Необязательный параметр. -
service_account_id
— идентификатор сервисного аккаунта, от имени которого трейл будет загружать файлы аудитного лога в бакет.В зависимости от области сбора аудитных логов, сервисному аккаунту должна быть назначена роль
audit-trails.viewer
на организацию, облако или каталог, в которых трейл будет собирать аудитные логи.
destination.object_storage
— структура, описывающая целевой бакет.-
bucket_id
— имя бакета, в который будут загружаться аудитные логи.
Чтобы получить список бакетов в каталоге по умолчанию, выполните команду CLIyc storage bucket list
. -
object_prefix
— префикс, который будет присвоен объектам с аудитными логами в бакете. Необязательный параметр, участвует в полном имени файла аудитного лога.Примечание
Используйте префикс, если вы храните аудитные логи и сторонние данные в одном и том же бакете. Не используйте одинаковый префикс для логов и других объектов в бакете, так как в этом случае логи и сторонние объекты могут перезаписать друг друга.
-
filter
— структура, описывающая обработку событий трейлом. Содержит объектыpath_filter
иevent_filter
.-
path_filter
— структура, описывающая обработку трейлом событий уровня конфигурации (Control Plane). Может содержать один объектroot.some_filter
или один объектroot.any_filter
. Если в конфигурации отсутствует объектpath_filter
, трейл не будет обрабатывать события Control Plane.-
root.some_filter
— структура, описывающая ресурсы, для которых будут собираться аудитные логи. В зависимости от области сбора аудитных логов позволяет настроить обработку событий в отдельных облаках организации или каталогах облака, к которым относится трейл.-
resource.id
— идентификатор родительского ресурса, которому принадлежит создаваемый трейл и для ресурсов которого будут собираться аудитные логи. В зависимости от области сбора аудитных логов укажите в этом параметре идентификатор организации или идентификатор облака, к которому относится трейл. -
resource.type
— тип родительского ресурса Yandex Cloud, в котором создается трейл. В зависимости от области сбора аудитных логов укажите в этом параметре значениеorganization-manager.organization
илиresource-manager.cloud
. -
filters.any_filter
— структура, описывающая один дочерний ресурс, в котором будут собираться аудитные логи. Чтобы указать несколько дочерних ресурсов, задайте параметрfilters.any_filter
необходимое количество раз. В зависимости от области сбора аудитных логов, указывайте в этом параметре информацию об облаках или каталогах, в которых трейл будет обрабатывать события:resource.id
— идентификатор дочернего ресурса. В зависимости от области сбора аудитных логов укажите идентификатор облака или каталога, в котором трейл будет собирать аудитные логи.resource.type
— тип дочернего ресурса. В зависимости от области сбора аудитных логов укажите в этом параметре значениеresource-manager.cloud
илиresource-manager.folder
.
Чтобы задать текущий каталог в качестве области сбора аудитных логов, вместо параметра
root.some_filter
используйте параметрroot.any_filter
.Использование параметра
root.some_filter
исключает использование параметраroot.any_filter
. -
-
root.any_filter
— структура, описывающая ресурсы, для которых будут собираться аудитные логи. В зависимости от области сбора аудитных логов позволяет настроить обработку событий во всех облаках организации, к которой относится трейл, во всех каталогах облака, к которому относится трейл, или в текущем каталоге, в котором создается трейл. Использование параметраroot.any_filter
исключает использование параметраroot.some_filter
.resource.id
— идентификатор ресурса, которому принадлежит создаваемый трейл и для ресурсов которого будут собираться аудитные логи. В зависимости от области сбора аудитных логов укажите в этом параметре идентификатор организации, облака или каталога.resource.type
— тип ресурса Yandex Cloud. В зависимости от области сбора аудитных логов задайте значениеorganization-manager.organization
,resource-manager.cloud
илиresource-manager.folder
.
-
-
event_filter
— структура, описывающая обработку трейлом событий уровня сервисов (Data Plane). Если в конфигурации отсутствует объектevent_filter
, трейл не будет обрабатывать события Data Plane.-
filters.service
— идентификатор сервиса, в котором трейл будет обрабатывать события. В одном блокеfilters.service
настраивается обработка аудитных логов Data Plane для одного сервиса Yandex Cloud. Чтобы настроить обработку трейлом событий Data Plane для нескольких сервисов, укажите в конфигурации параметрfilters.service
необходимое количество раз.
Возможные значения:dns
;kms
;lockbox
;mdb.mongodb
;mdb.mysql
;mdb.postgresql
;storage
.
-
filters.categories
— структура, описывающая тип собираемых событий.plane
— уровень событий. Для событий уровня сервисов указывайте значениеDATA_PLANE
.type
— тип действия события в ресурсе. Возможные значения:READ
иWRITE
.
-
filters.path_filter
— структура, описывающая обработку трейлом событий уровня сервисов (Data Plane). Может содержать один объектroot.some_filter
или один объектroot.any_filter
.-
root.some_filter
— структура, описывающая ресурсы, для которых будут собираться аудитные логи. В зависимости от области сбора аудитных логов позволяет настроить обработку событий в отдельных облаках организации или каталогах облака, к которым относится трейл.-
resource.id
— идентификатор родительского ресурса, которому принадлежит создаваемый трейл и для ресурсов которого будут собираться аудитные логи. В зависимости от области сбора аудитных логов укажите в этом параметре идентификатор организации или идентификатор облака, к которому относится трейл. -
resource.type
— тип родительского ресурса Yandex Cloud, в котором создается трейл. В зависимости от области сбора аудитных логов укажите в этом параметре значениеorganization-manager.organization
илиresource-manager.cloud
. -
filters.any_filter
— структура, описывающая один дочерний ресурс, в котором будут собираться аудитные логи. Чтобы указать несколько дочерних ресурсов, задайте параметрfilters.any_filter
необходимое количество раз. В зависимости от области сбора аудитных логов, указывайте в этом параметре информацию об облаках или каталогах, в которых трейл будет обрабатывать события:resource.id
— идентификатор дочернего ресурса. В зависимости от области сбора аудитных логов укажите идентификатор облака или каталога, в котором трейл будет собирать аудитные логи.resource.type
— тип дочернего ресурса. В зависимости от области сбора аудитных логов укажите в этом параметре значениеresource-manager.cloud
илиresource-manager.folder
.
Чтобы задать текущий каталог в качестве области сбора аудитных логов, вместо параметра
root.some_filter
используйте параметрroot.any_filter
.Использование параметра
root.some_filter
исключает использование параметраroot.any_filter
. -
-
root.any_filter
— структура, описывающая ресурсы, для которых будут собираться аудитные логи. В зависимости от области сбора аудитных логов позволяет настроить обработку событий во всех облаках организации, к которой относится трейл, во всех каталогах облака, к которому относится трейл, или в текущем каталоге, в котором создается трейл. Использование параметраroot.any_filter
исключает использование параметраroot.some_filter
.resource.id
— идентификатор ресурса, которому принадлежит создаваемый трейл и для ресурсов которого будут собираться аудитные логи. В зависимости от области сбора аудитных логов укажите в этом параметре идентификатор организации, облака или каталога.resource.type
— тип ресурса Yandex Cloud. В зависимости от области сбора аудитных логов задайте значениеorganization-manager.organization
,resource-manager.cloud
илиresource-manager.folder
.
-
-
-
-
-
Выполните команду, указав путь к созданному файлу спецификации трейла:
yc audit-trails trail create --file <путь_к_файлу_спецификации>
Результат
done (1s) id: cnp155geqipu******** folder_id: b1g9d2k0itu4******** created_at: "2024-04-02T03:31:33.607Z" updated_at: "2024-04-02T03:31:33.607Z" name: sample-trail description: My very first trail destination: object_storage: bucket_id: at-destination-bucket object_prefix: sample-trail-audit-logs service_account_id: ajeee339l4m5******** status: ACTIVE filter: path_filter: root: some_filter: resource: id: b1glti4eser3******** type: resource-manager.cloud filters: - any_filter: resource: id: b1g9d2k0itu4******** type: resource-manager.folder - any_filter: resource: id: b1gp73knqj0u******** type: resource-manager.folder event_filter: filters: - service: mdb.postgresql categories: - plane: DATA_PLANE type: WRITE path_filter: root: some_filter: resource: id: b1glti4eser3******** type: resource-manager.cloud filters: - any_filter: resource: id: b1g9d2k0itu4******** type: resource-manager.folder - any_filter: resource: id: b1gp73knqj0u******** type: resource-manager.folder - service: dns categories: - plane: DATA_PLANE type: READ path_filter: root: any_filter: resource: id: b1glti4eser3******** type: resource-manager.cloud cloud_id: b1glti4eser3********
Подробнее о команде
yc audit-trails trail create
читайте в справочнике CLI. -
Terraform
Terraform распространяется под лицензией Business Source License
Подробную информацию о ресурсах провайдера смотрите в документации на сайте Terraform
Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.
-
Опишите в конфигурационном файле параметры трейла, который будет собирать аудитные события ресурсов облака:
resource "yandex_audit_trails_trail" "basic_trail" { name = "<имя_трейла>" folder_id = "<идентификатор_каталога>" description = "<описание_трейла>" labels = { key = "value" } service_account_id = "<идентификатор_сервисного_аккаунта>" storage_destination { bucket_name = "<имя_бакета>" object_prefix = "<префикс_в_бакете>" } filter { path_filter { some_filter { resource_id = "<идентификатор_организации>" resource_type = "<тип_родительского_ресурса>" any_filters { resource_id = "<идентификатор_облака_1>" resource_type = "<тип_дочернего_ресурса>" } any_filters { resource_id = "<идентификатор_облака_2>" resource_type = "<тип_дочернего_ресурса>" } } } event_filters { service = "<идентификатор_сервиса_1>" categories { plane = "DATA_PLANE" type = "<тип_действия>" } path_filter { any_filter { resource_id = "<идентификатор_организации>" resource_type = "<тип_ресурса>" } } } event_filters { service = "<идентификатор_сервиса_2>" categories { plane = "DATA_PLANE" type = "<тип_действия>" } path_filter { any_filter { resource_id = "<идентификатор_организации>" resource_type = "<тип_ресурса>" } } } } }
Где:
-
name
— имя создаваемого трейла. Требования к формату имени:- длина — от 2 до 63 символов;
- может содержать строчные буквы латинского алфавита, цифры и дефисы;
- первый символ — буква, последний — не дефис.
-
folder_id
— идентификатор каталога, в котором создается трейл. -
description
— описание трейла, которое позволит отличать его от других трейлов. НапримерMy very first trail
. Необязательный параметр. -
labels
— список меток в форматеключ=значение
. Необязательный параметр. -
service_account_id
— идентификатор сервисного аккаунта, от имени которого трейл будет загружать файлы аудитного лога в бакет.В зависимости от области сбора аудитных логов, сервисному аккаунту должна быть назначена роль
audit-trails.viewer
на организацию, облако или каталог, в которых трейл будет собирать аудитные логи.
storage_destination
— структура, описывающая целевой бакет.-
bucket_name
— имя бакета, в который будут загружаться аудитные логи.
Чтобы получить список бакетов в каталоге по умолчанию, выполните команду CLIyc storage bucket list
. -
object_prefix
— префикс, который будет присвоен объектам с аудитными логами в бакете. Необязательный параметр, участвует в полном имени файла аудитного лога.Примечание
Используйте префикс, если вы храните аудитные логи и сторонние данные в одном и том же бакете. Не используйте одинаковый префикс для логов и других объектов в бакете, так как в этом случае логи и сторонние объекты могут перезаписать друг друга.
-
filter
— структура, описывающая обработку событий трейлом. Содержит объектыpath_filter
иevent_filters
.-
path_filter
— структура, описывающая обработку трейлом событий уровня конфигурации (Control Plane). Может содержать один объектsome_filter
или один объектany_filter
. Если в конфигурации отсутствует объектpath_filter
, трейл не будет обрабатывать события Control Plane.-
some_filter
— структура, описывающая ресурсы, для которых будут собираться аудитные логи. В зависимости от области сбора аудитных логов позволяет настроить обработку событий в отдельных облаках организации или каталогах облака, к которым относится трейл.-
resource_id
— идентификатор родительского ресурса, которому принадлежит создаваемый трейл и для ресурсов которого будут собираться аудитные логи. В зависимости от области сбора аудитных логов укажите в этом параметре идентификатор организации или идентификатор облака, к которому относится трейл. -
resource_type
— тип родительского ресурса Yandex Cloud, в котором создается трейл. В зависимости от области сбора аудитных логов укажите в этом параметре значениеorganization-manager.organization
илиresource-manager.cloud
. -
any_filters
— структура, описывающая один дочерний ресурс, в котором будут собираться аудитные логи. Чтобы указать несколько дочерних ресурсов, задайте параметрany_filters
необходимое количество раз. В зависимости от области сбора аудитных логов, указывайте в этом параметре информацию об облаках или каталогах, в которых трейл будет обрабатывать события:resource_id
— идентификатор дочернего ресурса. В зависимости от области сбора аудитных логов укажите идентификатор облака или каталога, в котором трейл будет собирать аудитные логи.resource_type
— тип дочернего ресурса. В зависимости от области сбора аудитных логов укажите в этом параметре значениеresource-manager.cloud
илиresource-manager.folder
.
Чтобы задать текущий каталог в качестве области сбора аудитных логов, вместо параметра
some_filter
используйте параметрany_filter
.Использование параметра
some_filter
исключает использование параметраany_filter
. -
-
any_filter
— структура, описывающая ресурсы, для которых будут собираться аудитные логи. В зависимости от области сбора аудитных логов позволяет настроить обработку событий во всех облаках организации, к которой относится трейл, во всех каталогах облака, к которому относится трейл, или в текущем каталоге, в котором создается трейл. Использование параметраany_filter
исключает использование параметраsome_filter
.resource_id
— идентификатор ресурса, которому принадлежит создаваемый трейл и для ресурсов которого будут собираться аудитные логи. В зависимости от области сбора аудитных логов укажите в этом параметре идентификатор организации, облака или каталога.resource_type
— тип ресурса Yandex Cloud. В зависимости от области сбора аудитных логов задайте значениеorganization-manager.organization
,resource-manager.cloud
илиresource-manager.folder
.
-
-
event_filters
— структура, описывающая обработку трейлом событий уровня сервисов (Data Plane). Если в конфигурации отсутствует объектevent_filters
, трейл не будет обрабатывать события Data Plane. В одном блокеevent_filters
настраивается обработка аудитных логов Data Plane для одного сервиса Yandex Cloud. Чтобы настроить обработку трейлом событий Data Plane для нескольких сервисов, укажите в конфигурации параметрevent_filters
необходимое количество раз.-
service
— идентификатор сервиса, в котором трейл будет обрабатывать события.
Возможные значения:dns
;kms
;lockbox
;mdb.mongodb
;mdb.mysql
;mdb.postgresql
;storage
.
-
categories
— структура, описывающая тип собираемых событий.plane
— уровень событий. Для событий уровня сервисов указывайте значениеDATA_PLANE
.type
— тип действия события в ресурсе. Возможные значения:READ
иWRITE
.
-
path_filter
— структура, описывающая обработку трейлом событий уровня сервисов (Data Plane). Может содержать один объектsome_filter
или один объектany_filter
.-
some_filter
— структура, описывающая ресурсы, для которых будут собираться аудитные логи. В зависимости от области сбора аудитных логов позволяет настроить обработку событий в отдельных облаках организации или каталогах облака, к которым относится трейл.-
resource_id
— идентификатор родительского ресурса, которому принадлежит создаваемый трейл и для ресурсов которого будут собираться аудитные логи. В зависимости от области сбора аудитных логов укажите в этом параметре идентификатор организации или идентификатор облака, к которому относится трейл. -
resource_type
— тип родительского ресурса Yandex Cloud, в котором создается трейл. В зависимости от области сбора аудитных логов укажите в этом параметре значениеorganization-manager.organization
илиresource-manager.cloud
. -
any_filters
— структура, описывающая один дочерний ресурс, в котором будут собираться аудитные логи. Чтобы указать несколько дочерних ресурсов, задайте параметрany_filters
необходимое количество раз. В зависимости от области сбора аудитных логов, указывайте в этом параметре информацию об облаках или каталогах, в которых трейл будет обрабатывать события:resource_id
— идентификатор дочернего ресурса. В зависимости от области сбора аудитных логов укажите идентификатор облака или каталога, в котором трейл будет собирать аудитные логи.resource_type
— тип дочернего ресурса. В зависимости от области сбора аудитных логов укажите в этом параметре значениеresource-manager.cloud
илиresource-manager.folder
.
Чтобы задать текущий каталог в качестве области сбора аудитных логов, вместо параметра
some_filter
используйте параметрany_filter
.Использование параметра
some_filter
исключает использование параметраany_filter
. -
-
any_filter
— структура, описывающая ресурсы, для которых будут собираться аудитные логи. В зависимости от области сбора аудитных логов позволяет настроить обработку событий во всех облаках организации, к которой относится трейл, во всех каталогах облака, к которому относится трейл, или в текущем каталоге, в котором создается трейл. Использование параметраany_filter
исключает использование параметраsome_filter
.resource_id
— идентификатор ресурса, которому принадлежит создаваемый трейл и для ресурсов которого будут собираться аудитные логи. В зависимости от области сбора аудитных логов укажите в этом параметре идентификатор организации, облака или каталога.resource_type
— тип ресурса Yandex Cloud. В зависимости от области сбора аудитных логов задайте значениеorganization-manager.organization
,resource-manager.cloud
илиresource-manager.folder
.
-
-
-
Более подробную информацию о параметрах ресурса
yandex_audit_trails_trail
в Terraform см. в документации провайдера . -
-
Создайте ресурсы:
-
В терминале перейдите в папку, где вы отредактировали конфигурационный файл.
-
Проверьте корректность конфигурационного файла с помощью команды:
terraform validate
Если конфигурация является корректной, появится сообщение:
Success! The configuration is valid.
-
Выполните команду:
terraform plan
В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.
-
Примените изменения конфигурации:
terraform apply
-
Подтвердите изменения: введите в терминале слово
yes
и нажмите Enter.
Terraform создаст все требуемые ресурсы. Проверить появление ресурсов и их настройки можно в консоли управления
или с помощью команды CLI:yc audit-trails trail get <имя_трейла>
-
Воспользуйтесь методом REST API create для ресурса Trail или вызовом gRPC API TrailService/Create.
Трейл создастся и начнет загружать аудитные логи в бакет.
Что дальше
- Узнайте о формате аудитных логов.
- Узнайте о порядке загрузки аудитных логов в SIEM.
- Узнайте о поиске по аудитным логам в бакете.