Загрузка аудитных логов облака в Data Streams
По этой инструкции вы создадите новый трейл, который будет загружать аудитные логи уровня конфигурации всех ресурсов и (опционально) аудитные логи уровня сервисов выбранных сервисов отдельного облака в поток данных Data Streams.
Подготовить окружение
Для экспорта аудитных логов облака:
-
Создайте поток данных для загрузки в него аудитных логов.
-
Создайте сервисный аккаунт.
-
Назначьте роли сервисному аккаунту:
CLIЕсли у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра
--folder-name
или--folder-id
.-
audit-trails.viewer
на облако, с которого будут собираться аудитные логи:yc resource-manager cloud add-access-binding \ --role audit-trails.viewer \ --id <идентификатор_облака> \ --service-account-id <идентификатор_сервисного_аккаунта>
Где:
--role
— назначаемая роль.--id
— идентификатор облака, с которого будут собираться аудитные логи.--service-account-id
— идентификатор сервисного аккаунта.
-
yds.writer
на каталог, в котором будет находиться трейл:yc resource-manager folder add-access-binding \ --role yds.writer \ --id <идентификатор_каталога> \ --service-account-id <идентификатор_сервисного_аккаунта>
Где:
--role
— назначаемая роль.--id
— идентификатор каталога, в котором будет находиться трейл.--service-account-id
— идентификатор сервисного аккаунта.
-
-
На странице Права доступа
убедитесь, что у вас есть роли:iam.serviceAccounts.user
на сервисный аккаунт;audit-trails.editor
на каталог, где будет находиться трейл;audit-trails.viewer
на облако, с которого будут собираться аудитные логи;yds.viewer
на поток данных Data Streams.
Создать трейл
Чтобы создать трейл, который экспортирует аудитные логи облака:
-
В консоли управления
выберите каталог, в котором вы хотите разместить трейл. -
Выберите сервис Audit Trails.
-
Нажмите кнопку Создать трейл и укажите:
- Имя — имя создаваемого трейла.
- Описание — описание трейла, необязательный параметр.
-
В блоке Назначение задайте параметры объекта назначения:
- Назначение —
Data Streams
. - Поток данных — выберите поток данных. Также вы можете создать новый поток данных, для этого нажмите кнопку Создать новый и укажите параметры потока данных.
- Назначение —
-
В блоке Сервисный аккаунт выберите сервисный аккаунт, от имени которого трейл будет загружать аудитные логи в поток данных.
-
В блоке Сбор событий c уровня конфигурации задайте параметры сбора аудитных логов уровня конфигурации:
- Сбор событий — выберите
Включено
. - Ресурс — выберите
Облако
. - Облако — не требует заполнения, содержит имя облака, в котором будет находиться трейл.
- Каталог — оставьте значение по умолчанию
Все
.
- Сбор событий — выберите
-
(опционально) В блоке Сбор событий с уровня сервисов задайте параметры сбора аудитных логов уровня сервисов:
-
Сбор событий — выберите
Включено
. -
Выберите сервисы, для которых вы хотите собирать аудитные логи.
-
Для каждого выбранного сервиса укажите область сбора аудитных логов и тип фильтра событий:
Получать все
— чтобы получать все события сервиса.Выбранные
— чтобы получать только выбранные события. Затем выберите события.Исключить
— чтобы получать все события, кроме выбранных. Затем выберите события.
-
-
Нажмите кнопку Создать.
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name
или --folder-id
.
-
Посмотрите описание команды CLI для создания трейла:
yc audit-trails trail create --help
-
Выполните команду, чтобы создать трейл для сбора аудитных логов уровня конфигурации в облаке:
yc audit-trails trail create \ --name <имя_трейла> \ --description "<описание_трейла>" \ --service-account-id <идентификатор_сервисного_аккаунта> \ --destination-yds-stream <имя_потока_данных> \ --destination-yds-database-id <идентификатор_БД_YDB> \ --filter-from-cloud-id <идентификатор_облака> \ --filter-some-folder-ids <список_каталогов_в_облаке>
Где:
-
--name
— имя создаваемого трейла.
Требования к формату имени:- длина — от 3 до 63 символов;
- может содержать строчные буквы латинского алфавита, цифры и дефисы;
- первый символ — буква, последний — не дефис.
-
--description
— описание трейла, которое позволит отличать его от других трейлов. Например--description "My very first trail"
. Необязательный параметр. -
--service-account-id
— идентификатор сервисного аккаунта, от имени которого трейл будет загружать файлы аудитного лога в бакет.В зависимости от области сбора аудитных логов, сервисному аккаунту должна быть назначена роль
audit-trails.viewer
на организацию, облако или каталог, в которых трейл будет собирать аудитные логи.
-
--destination-yds-stream
— имя потока данных Yandex Data Streams. -
--destination-yds-database-id
— идентификатор базы данных YDB, которая используется потоком данных Data Streams. Получить идентификатор базы данных можно в консоли управления или с помощью команды CLIyc ydb database list
.
-
--filter-from-cloud-id
— идентификатор облака, которому принадлежит создаваемый трейл и для ресурсов которого будут собираться аудитные логи.При использовании параметра
--filter-from-cloud-id
необходимо также задать идентификаторы каталогов в параметре--filter-some-folder-ids
.Использование параметра
--filter-from-cloud-id
исключает использование параметра--filter-all-cloud-id
. -
--filter-some-folder-ids
— список идентификаторов каталогов, для ресурсов которых трейл будет собирать аудитные логи. Используйте этот параметр только в том случае, если задан параметр---filter-from-cloud-id
.Указанные в параметре каталоги должны принадлежать облаку, заданному в параметре
--filter-from-cloud-id
.Если аудитные логи нужно собирать во всех каталогах, принадлежащих облаку, используйте параметр
--filter-all-cloud-id
. -
--filter-all-cloud-id
— идентификатор облака, которому принадлежит создаваемый трейл и для всех ресурсов во всех каталогах которого будут собираться аудитные логи.Использование параметра
--filter-all-cloud-id
исключает использование параметра--filter-from-cloud-id
.
Результат:
done (1s) id: cnpgt7fgi482******** folder_id: b1g9d2k0itu4******** created_at: "2024-04-01T10:37:35.151Z" updated_at: "2024-04-01T10:37:35.151Z" name: sample-trail description: My very first trail destination: data_stream: database_id: etnsamrdlkiv******** stream_name: sample-stream service_account_id: ajeee339l4m5******** status: ACTIVE filter: path_filter: root: some_filter: resource: id: b1glti4eser3******** type: resource-manager.cloud filters: - any_filter: resource: id: b1g9d2k0itu4******** type: resource-manager.folder - any_filter: resource: id: b1gp73knqj0u******** type: resource-manager.folder event_filter: {} cloud_id: b1glti4eser3********
-
-
Чтобы создать трейл для сбора аудитных логов уровня конфигурации и уровня сервисов, используйте файл с YAML-спецификацией трейла.
-
Создайте файл конфигурации трейла, например
specification.yaml
:specification.yaml
folder_id: b1g9d2k0itu4******** name: sample-trail description: My very first trail labels: key: value destination: data_stream: database_id: etnneuucptkf******** stream_name: sample-stream service_account_id: ajeee339l4m5******** filter: path_filter: root: some_filter: resource: id: b1glti4eser3******** type: resource-manager.cloud filters: - any_filter: resource: id: b1g9d2k0itu4******** type: resource-manager.folder - any_filter: resource: id: b1gp73knqj0u******** type: resource-manager.folder event_filter: filters: - service: mdb.postgresql categories: - plane: DATA_PLANE type: WRITE path_filter: root: some_filter: resource: id: b1glti4eser3******** type: resource-manager.cloud filters: - any_filter: resource: id: b1g9d2k0itu4******** type: resource-manager.folder - any_filter: resource: id: b1gp73knqj0u******** type: resource-manager.folder - service: dns categories: - plane: DATA_PLANE type: READ path_filter: root: any_filter: resource: id: b1glti4eser3******** type: resource-manager.cloud
Описание спецификации
-
folder_id
— идентификатор каталога, в котором создается трейл. -
name
— имя создаваемого трейла. Требования к формату имени:- длина — от 3 до 63 символов;
- может содержать строчные буквы латинского алфавита, цифры и дефисы;
- первый символ — буква, последний — не дефис.
-
description
— описание трейла, которое позволит отличать его от других трейлов. НапримерMy very first trail
. Необязательный параметр. -
labels
— список меток в форматеключ=значение
. Необязательный параметр. -
service_account_id
— идентификатор сервисного аккаунта, от имени которого трейл будет загружать файлы аудитного лога в бакет.В зависимости от области сбора аудитных логов, сервисному аккаунту должна быть назначена роль
audit-trails.viewer
на организацию, облако или каталог, в которых трейл будет собирать аудитные логи.
-
destination.data_stream
— структура, описывающая целевой поток данных Yandex Data Streams.database_id
— идентификатор базы данных YDB, которая используется потоком данных Data Streams. Получить идентификатор базы данных можно в консоли управления или с помощью команды CLIyc ydb database list
.stream_name
— имя потока данных Data Streams.
filter
— структура, описывающая обработку событий трейлом. Содержит объектыpath_filter
иevent_filter
.-
path_filter
— структура, описывающая обработку трейлом событий уровня конфигурации (Control Plane). Может содержать один объектroot.some_filter
или один объектroot.any_filter
. Если в конфигурации отсутствует объектpath_filter
, трейл не будет обрабатывать события Control Plane.-
root.some_filter
— структура, описывающая ресурсы, для которых будут собираться аудитные логи. В зависимости от области сбора аудитных логов позволяет настроить обработку событий в отдельных облаках организации или каталогах облака, к которым относится трейл.-
resource.id
— идентификатор родительского ресурса, которому принадлежит создаваемый трейл и для ресурсов которого будут собираться аудитные логи. В зависимости от области сбора аудитных логов укажите в этом параметре идентификатор организации или идентификатор облака, к которому относится трейл. -
resource.type
— тип родительского ресурса Yandex Cloud, в котором создается трейл. В зависимости от области сбора аудитных логов укажите в этом параметре значениеorganization-manager.organization
илиresource-manager.cloud
. -
filters.any_filter
— структура, описывающая один дочерний ресурс, в котором будут собираться аудитные логи. Чтобы указать несколько дочерних ресурсов, задайте параметрfilters.any_filter
необходимое количество раз. В зависимости от области сбора аудитных логов, указывайте в этом параметре информацию об облаках или каталогах, в которых трейл будет обрабатывать события:resource.id
— идентификатор дочернего ресурса. В зависимости от области сбора аудитных логов укажите идентификатор облака или каталога, в котором трейл будет собирать аудитные логи.resource.type
— тип дочернего ресурса. В зависимости от области сбора аудитных логов укажите в этом параметре значениеresource-manager.cloud
илиresource-manager.folder
.
Чтобы задать текущий каталог в качестве области сбора аудитных логов, вместо параметра
root.some_filter
используйте параметрroot.any_filter
.Использование параметра
root.some_filter
исключает использование параметраroot.any_filter
. -
-
root.any_filter
— структура, описывающая ресурсы, для которых будут собираться аудитные логи. В зависимости от области сбора аудитных логов позволяет настроить обработку событий во всех облаках организации, к которой относится трейл, во всех каталогах облака, к которому относится трейл, или в текущем каталоге, в котором создается трейл. Использование параметраroot.any_filter
исключает использование параметраroot.some_filter
.resource.id
— идентификатор ресурса, которому принадлежит создаваемый трейл и для ресурсов которого будут собираться аудитные логи. В зависимости от области сбора аудитных логов укажите в этом параметре идентификатор организации, облака или каталога.resource.type
— тип ресурса Yandex Cloud. В зависимости от области сбора аудитных логов задайте значениеorganization-manager.organization
,resource-manager.cloud
илиresource-manager.folder
.
-
-
event_filter
— структура, описывающая обработку трейлом событий уровня сервисов (Data Plane). Если в конфигурации отсутствует объектevent_filter
, трейл не будет обрабатывать события Data Plane.-
filters.service
— идентификатор сервиса, в котором трейл будет обрабатывать события. В одном блокеfilters.service
настраивается обработка аудитных логов Data Plane для одного сервиса Yandex Cloud. Чтобы настроить обработку трейлом событий Data Plane для нескольких сервисов, укажите в конфигурации параметрfilters.service
необходимое количество раз.
Возможные значения:dns
;kms
;lockbox
;mdb.mongodb
;mdb.mysql
;mdb.postgresql
;storage
.
-
filters.categories
— структура, описывающая тип собираемых событий.plane
— уровень событий. Для событий уровня сервисов указывайте значениеDATA_PLANE
.type
— тип действия события в ресурсе. Возможные значения:READ
иWRITE
.
-
filters.path_filter
— структура, описывающая обработку трейлом событий уровня сервисов (Data Plane). Может содержать один объектroot.some_filter
или один объектroot.any_filter
.-
root.some_filter
— структура, описывающая ресурсы, для которых будут собираться аудитные логи. В зависимости от области сбора аудитных логов позволяет настроить обработку событий в отдельных облаках организации или каталогах облака, к которым относится трейл.-
resource.id
— идентификатор родительского ресурса, которому принадлежит создаваемый трейл и для ресурсов которого будут собираться аудитные логи. В зависимости от области сбора аудитных логов укажите в этом параметре идентификатор организации или идентификатор облака, к которому относится трейл. -
resource.type
— тип родительского ресурса Yandex Cloud, в котором создается трейл. В зависимости от области сбора аудитных логов укажите в этом параметре значениеorganization-manager.organization
илиresource-manager.cloud
. -
filters.any_filter
— структура, описывающая один дочерний ресурс, в котором будут собираться аудитные логи. Чтобы указать несколько дочерних ресурсов, задайте параметрfilters.any_filter
необходимое количество раз. В зависимости от области сбора аудитных логов, указывайте в этом параметре информацию об облаках или каталогах, в которых трейл будет обрабатывать события:resource.id
— идентификатор дочернего ресурса. В зависимости от области сбора аудитных логов укажите идентификатор облака или каталога, в котором трейл будет собирать аудитные логи.resource.type
— тип дочернего ресурса. В зависимости от области сбора аудитных логов укажите в этом параметре значениеresource-manager.cloud
илиresource-manager.folder
.
Чтобы задать текущий каталог в качестве области сбора аудитных логов, вместо параметра
root.some_filter
используйте параметрroot.any_filter
.Использование параметра
root.some_filter
исключает использование параметраroot.any_filter
. -
-
root.any_filter
— структура, описывающая ресурсы, для которых будут собираться аудитные логи. В зависимости от области сбора аудитных логов позволяет настроить обработку событий во всех облаках организации, к которой относится трейл, во всех каталогах облака, к которому относится трейл, или в текущем каталоге, в котором создается трейл. Использование параметраroot.any_filter
исключает использование параметраroot.some_filter
.resource.id
— идентификатор ресурса, которому принадлежит создаваемый трейл и для ресурсов которого будут собираться аудитные логи. В зависимости от области сбора аудитных логов укажите в этом параметре идентификатор организации, облака или каталога.resource.type
— тип ресурса Yandex Cloud. В зависимости от области сбора аудитных логов задайте значениеorganization-manager.organization
,resource-manager.cloud
илиresource-manager.folder
.
-
-
-
-
-
Выполните команду, указав путь к созданному файлу спецификации трейла:
yc audit-trails trail create --file <путь_к_файлу_спецификации>
Результат
done (1s) id: cnplt4audsde******** folder_id: b1g9d2k0itu4******** created_at: "2024-04-02T04:18:49.186Z" updated_at: "2024-04-02T04:18:49.186Z" name: sample-trail description: My very first trail destination: data_stream: database_id: etnneuucptkf******** stream_name: sample-stream service_account_id: ajeee339l4m5******** status: ACTIVE filter: path_filter: root: some_filter: resource: id: b1glti4eser3******** type: resource-manager.cloud filters: - any_filter: resource: id: b1g9d2k0itu4******** type: resource-manager.folder - any_filter: resource: id: b1gp73knqj0u******** type: resource-manager.folder event_filter: filters: - service: mdb.postgresql categories: - plane: DATA_PLANE type: WRITE path_filter: root: some_filter: resource: id: b1glti4eser3******** type: resource-manager.cloud filters: - any_filter: resource: id: b1g9d2k0itu4******** type: resource-manager.folder - any_filter: resource: id: b1gp73knqj0u******** type: resource-manager.folder - service: dns categories: - plane: DATA_PLANE type: READ path_filter: root: any_filter: resource: id: b1glti4eser3******** type: resource-manager.cloud cloud_id: b1glti4eser3********
Подробнее о команде
yc audit-trails trail create
читайте в справочнике CLI. -
Terraform
Terraform распространяется под лицензией Business Source License
Подробную информацию о ресурсах провайдера смотрите в документации на сайте Terraform
Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.
-
Опишите в конфигурационном файле параметры трейла, который будет собирать аудитные события ресурсов облака:
resource "yandex_audit_trails_trail" "basic_trail" { name = "<имя_трейла>" folder_id = "<идентификатор_каталога>" description = "<описание_трейла>" labels = { key = "value" } service_account_id = "<идентификатор_сервисного_аккаунта>" data_stream_destination { stream_name = "<имя_потока_данных>" database_id = "<идентификатор_БД_YDB>" } filter { path_filter { some_filter { resource_id = "<идентификатор_организации>" resource_type = "<тип_родительского_ресурса>" any_filters { resource_id = "<идентификатор_облака_1>" resource_type = "<тип_дочернего_ресурса>" } any_filters { resource_id = "<идентификатор_облака_2>" resource_type = "<тип_дочернего_ресурса>" } } } event_filters { service = "<идентификатор_сервиса_1>" categories { plane = "DATA_PLANE" type = "<тип_действия>" } path_filter { any_filter { resource_id = "<идентификатор_организации>" resource_type = "<тип_ресурса>" } } } event_filters { service = "<идентификатор_сервиса_2>" categories { plane = "DATA_PLANE" type = "<тип_действия>" } path_filter { any_filter { resource_id = "<идентификатор_организации>" resource_type = "<тип_ресурса>" } } } } }
Где:
-
name
— имя создаваемого трейла. Требования к формату имени:- длина — от 3 до 63 символов;
- может содержать строчные буквы латинского алфавита, цифры и дефисы;
- первый символ — буква, последний — не дефис.
-
folder_id
— идентификатор каталога, в котором создается трейл. -
description
— описание трейла, которое позволит отличать его от других трейлов. НапримерMy very first trail
. Необязательный параметр. -
labels
— список меток в форматеключ=значение
. Необязательный параметр. -
service_account_id
— идентификатор сервисного аккаунта, от имени которого трейл будет загружать файлы аудитного лога в бакет.В зависимости от области сбора аудитных логов, сервисному аккаунту должна быть назначена роль
audit-trails.viewer
на организацию, облако или каталог, в которых трейл будет собирать аудитные логи.
-
data_stream_destination
— структура, описывающая целевой поток данных Yandex Data Streams.stream_name
— имя потока данных Data Streams.database_id
— идентификатор базы данных YDB, которая используется потоком данных Data Streams. Получить идентификатор базы данных можно в консоли управления или с помощью команды CLIyc ydb database list
.
filter
— структура, описывающая обработку событий трейлом. Содержит объектыpath_filter
иevent_filters
.-
path_filter
— структура, описывающая обработку трейлом событий уровня конфигурации (Control Plane). Может содержать один объектsome_filter
или один объектany_filter
. Если в конфигурации отсутствует объектpath_filter
, трейл не будет обрабатывать события Control Plane.-
some_filter
— структура, описывающая ресурсы, для которых будут собираться аудитные логи. В зависимости от области сбора аудитных логов позволяет настроить обработку событий в отдельных облаках организации или каталогах облака, к которым относится трейл.-
resource_id
— идентификатор родительского ресурса, которому принадлежит создаваемый трейл и для ресурсов которого будут собираться аудитные логи. В зависимости от области сбора аудитных логов укажите в этом параметре идентификатор организации или идентификатор облака, к которому относится трейл. -
resource_type
— тип родительского ресурса Yandex Cloud, в котором создается трейл. В зависимости от области сбора аудитных логов укажите в этом параметре значениеorganization-manager.organization
илиresource-manager.cloud
. -
any_filters
— структура, описывающая один дочерний ресурс, в котором будут собираться аудитные логи. Чтобы указать несколько дочерних ресурсов, задайте параметрany_filters
необходимое количество раз. В зависимости от области сбора аудитных логов, указывайте в этом параметре информацию об облаках или каталогах, в которых трейл будет обрабатывать события:resource_id
— идентификатор дочернего ресурса. В зависимости от области сбора аудитных логов укажите идентификатор облака или каталога, в котором трейл будет собирать аудитные логи.resource_type
— тип дочернего ресурса. В зависимости от области сбора аудитных логов укажите в этом параметре значениеresource-manager.cloud
илиresource-manager.folder
.
Чтобы задать текущий каталог в качестве области сбора аудитных логов, вместо параметра
some_filter
используйте параметрany_filter
.Использование параметра
some_filter
исключает использование параметраany_filter
. -
-
any_filter
— структура, описывающая ресурсы, для которых будут собираться аудитные логи. В зависимости от области сбора аудитных логов позволяет настроить обработку событий во всех облаках организации, к которой относится трейл, во всех каталогах облака, к которому относится трейл, или в текущем каталоге, в котором создается трейл. Использование параметраany_filter
исключает использование параметраsome_filter
.resource_id
— идентификатор ресурса, которому принадлежит создаваемый трейл и для ресурсов которого будут собираться аудитные логи. В зависимости от области сбора аудитных логов укажите в этом параметре идентификатор организации, облака или каталога.resource_type
— тип ресурса Yandex Cloud. В зависимости от области сбора аудитных логов задайте значениеorganization-manager.organization
,resource-manager.cloud
илиresource-manager.folder
.
-
-
event_filters
— структура, описывающая обработку трейлом событий уровня сервисов (Data Plane). Если в конфигурации отсутствует объектevent_filters
, трейл не будет обрабатывать события Data Plane. В одном блокеevent_filters
настраивается обработка аудитных логов Data Plane для одного сервиса Yandex Cloud. Чтобы настроить обработку трейлом событий Data Plane для нескольких сервисов, укажите в конфигурации параметрevent_filters
необходимое количество раз.-
service
— идентификатор сервиса, в котором трейл будет обрабатывать события.
Возможные значения:dns
;kms
;lockbox
;mdb.mongodb
;mdb.mysql
;mdb.postgresql
;storage
.
-
categories
— структура, описывающая тип собираемых событий.plane
— уровень событий. Для событий уровня сервисов указывайте значениеDATA_PLANE
.type
— тип действия события в ресурсе. Возможные значения:READ
иWRITE
.
-
path_filter
— структура, описывающая обработку трейлом событий уровня сервисов (Data Plane). Может содержать один объектsome_filter
или один объектany_filter
.-
some_filter
— структура, описывающая ресурсы, для которых будут собираться аудитные логи. В зависимости от области сбора аудитных логов позволяет настроить обработку событий в отдельных облаках организации или каталогах облака, к которым относится трейл.-
resource_id
— идентификатор родительского ресурса, которому принадлежит создаваемый трейл и для ресурсов которого будут собираться аудитные логи. В зависимости от области сбора аудитных логов укажите в этом параметре идентификатор организации или идентификатор облака, к которому относится трейл. -
resource_type
— тип родительского ресурса Yandex Cloud, в котором создается трейл. В зависимости от области сбора аудитных логов укажите в этом параметре значениеorganization-manager.organization
илиresource-manager.cloud
. -
any_filters
— структура, описывающая один дочерний ресурс, в котором будут собираться аудитные логи. Чтобы указать несколько дочерних ресурсов, задайте параметрany_filters
необходимое количество раз. В зависимости от области сбора аудитных логов, указывайте в этом параметре информацию об облаках или каталогах, в которых трейл будет обрабатывать события:resource_id
— идентификатор дочернего ресурса. В зависимости от области сбора аудитных логов укажите идентификатор облака или каталога, в котором трейл будет собирать аудитные логи.resource_type
— тип дочернего ресурса. В зависимости от области сбора аудитных логов укажите в этом параметре значениеresource-manager.cloud
илиresource-manager.folder
.
Чтобы задать текущий каталог в качестве области сбора аудитных логов, вместо параметра
some_filter
используйте параметрany_filter
.Использование параметра
some_filter
исключает использование параметраany_filter
. -
-
any_filter
— структура, описывающая ресурсы, для которых будут собираться аудитные логи. В зависимости от области сбора аудитных логов позволяет настроить обработку событий во всех облаках организации, к которой относится трейл, во всех каталогах облака, к которому относится трейл, или в текущем каталоге, в котором создается трейл. Использование параметраany_filter
исключает использование параметраsome_filter
.resource_id
— идентификатор ресурса, которому принадлежит создаваемый трейл и для ресурсов которого будут собираться аудитные логи. В зависимости от области сбора аудитных логов укажите в этом параметре идентификатор организации, облака или каталога.resource_type
— тип ресурса Yandex Cloud. В зависимости от области сбора аудитных логов задайте значениеorganization-manager.organization
,resource-manager.cloud
илиresource-manager.folder
.
-
-
-
Более подробную информацию о параметрах ресурса
yandex_audit_trails_trail
в Terraform см. в документации провайдера . -
-
Создайте ресурсы:
-
В терминале перейдите в папку, где вы отредактировали конфигурационный файл.
-
Проверьте корректность конфигурационного файла с помощью команды:
terraform validate
Если конфигурация является корректной, появится сообщение:
Success! The configuration is valid.
-
Выполните команду:
terraform plan
В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.
-
Примените изменения конфигурации:
terraform apply
-
Подтвердите изменения: введите в терминале слово
yes
и нажмите Enter.
Terraform создаст все требуемые ресурсы. Проверить появление ресурсов и их настройки можно в консоли управления
или с помощью команды CLI:yc audit-trails trail get <имя_трейла>
-
Воспользуйтесь методом REST API create для ресурса Trail или вызовом gRPC API TrailService/Create.
Трейл создастся и начнет загружать аудитные логи в поток данных.
Что дальше
- Узнайте о формате аудитных логов.
- Узнайте о порядке загрузки аудитных логов в SIEM.
- Узнайте о поиске по аудитным логам в бакете.