Связаться с экспертомПопробовать бесплатно
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ООО «Яндекс.Облако»

Как начать работать с Audit Trails

Статья создана
Обновлена 2 июня 2026 г.

Audit Trails собирает аудитные логи ресурсов Yandex Cloud для контроля действий с ресурсами и событий доступа. Логи можно загружать в бакет Yandex Object Storage, лог-группу Yandex Cloud Logging или поток данных Yandex Data Streams.

Для сбора и доставки аудитных логов в Audit Trails используются трейлы. Для каждого вида хранилища нужен отдельный трейл.

По этой инструкции вы создадите трейл для загрузки аудитных логов ресурсов организации. Выберите объект назначения в зависимости от задачи:

  • Бакет Object Storage — для долговременного хранения аудитных логов и их последующего анализа.
  • Лог-группу Cloud Logging — для быстрого просмотра и поиска логов в реальном времени. Также подойдет для первого знакомства с сервисом.

Перед началом работы

Инструкция предполагает, что у вас уже есть ресурсы Yandex Cloud, поэтому перед началом убедитесь:

Для создания трейла вам потребуются роли:

  • iam.serviceAccounts.user — на сервисный аккаунт, от имени которого будет собираться аудитный лог. Сервисный аккаунт можно создать при создании трейла.
  • audit-trails.editor — на каталог, в котором будет находиться трейл.
  • audit-trails.viewer — на организацию, с которой будут собираться аудитные логи.
  • При использовании бакета:
    • kms.editor — на каталог, в котором будет создан ключ шифрования для бакета.
    • storage.viewer — на бакет или каталог.
  • При использовании лог-группы — logging.viewer на лог-группу или каталог.

Примечание

Если вы не можете управлять ролями, обратитесь к администратору вашего облака или организации.

Создать трейл

  1. В консоли управления выберите каталог, в котором вы хотите разместить трейл.

  2. Перейдите в сервис Audit Trails.

  3. Нажмите кнопку Создать трейл.

  4. В поле Имя укажите имя создаваемого трейла.

  5. В блоке Назначение задайте параметры объекта назначения:

    • НазначениеObject Storage.
    • Бакет — выберите бакет, в который будут загружаться аудитные логи. Если бакета нет, нажмите кнопку Создать и создайте новый бакет с ограниченным доступом.
    • Префикс объекта — необязательный параметр, участвует в полном имени файла аудитного лога.

    Примечание

    Используйте префикс, если вы храните аудитные логи и сторонние данные в одном и том же бакете. Не используйте одинаковый префикс для логов и других объектов в бакете, так как в этом случае логи и сторонние объекты могут перезаписать друг друга.

    • Ключ шифрования — если выбранный бакет зашифрован, укажите ключ шифрования.

  6. В блоке Сервисный аккаунт выберите существующий сервисный аккаунт или создайте новый. От имени этого аккаунта трейл будет загружать файлы аудитного лога в бакет.
    Если вы создаете новый аккаунт, нажмите кнопку Создать, укажите имя и назначьте ему роли:

    • storage.uploader на бакет;
    • audit-trails.viewer на каталог, если планируете собирать события с каталога;
    • kms.keys.encrypter на ключ шифрования, если бакет зашифрован.

  7. В блоке Сбор событий c уровня конфигурации задайте параметры:

    • Сбор событийВключено.
    • Ресурс — уровень сбора событий: Организация, Облако или Каталог.
    • В зависимости от выбранного уровня сбора событий:
      • Назначьте сервисному аккаунту соответствующие роли. Например, при выборе уровня Каталог понадобится роль audit-trails.viewer на этот каталог.
      • Укажите организацию, облако или каталог, с которых будут собираться аудитные логи.

  8. Проверьте блок Сбор событий с уровня сервисов и при необходимости настройте параметры:

    Важно

    В консоли управления сбор некоторых событий уровня сервисов включен по умолчанию. Их доставка оплачивается в соответствии с правилами тарификации. Если события уровня сервисов вам не нужны, отключите их сбор.

    • Сбор событийВключено.

    • Выберите сервисы, для которых вы хотите собирать аудитные логи.

    • Для каждого выбранного сервиса укажите область сбора аудитных логов и тип фильтра событий:

      • Получать все — чтобы получать все события сервиса.
      • Выбранные — чтобы получать только выбранные события. Затем выберите события.
      • Исключить — чтобы получать все события, кроме выбранных. Затем выберите события.

  9. Нажмите кнопку Создать.

  1. В консоли управления выберите каталог, в котором вы хотите разместить трейл.

  2. Перейдите в сервис Audit Trails.

  3. Нажмите кнопку Создать трейл.

  4. В поле Имя укажите имя создаваемого трейла.

  5. В блоке Назначение задайте параметры объекта назначения:

    • НазначениеCloud Logging.
    • Лог-группа — выберите лог-группу, в которую будут загружаться аудитные логи. Если лог-группы нет, нажмите кнопку Создать и создайте новую лог-группу.

  6. В блоке Сервисный аккаунт выберите существующий сервисный аккаунт или создайте новый. От имени этого аккаунта трейл будет загружать файлы аудитного лога в лог-группу.
    Если вы создаете новый аккаунт, нажмите кнопку Создать, укажите имя и назначьте ему роли:

    • logging.writer на лог-группу;
    • audit-trails.viewer на каталог, если планируете собирать события с каталога.

  7. В блоке Сбор событий c уровня конфигурации задайте параметры сбора аудитных логов уровня конфигурации:

    • Сбор событий — выберите Включено.
    • Ресурс — выберите уровень сбора событий: Организация, Облако или Каталог.
    • В зависимости от выбранного уровня сбора событий:
      • Назначьте сервисному аккаунту соответствующие роли. Например, при выборе уровня Каталог понадобится роль audit-trails.viewer на этот каталог.
      • Укажите организацию, облако или каталог, с которых будут собираться аудитные логи.

  8. Проверьте блок Сбор событий с уровня сервисов и при необходимости настройте параметры:

    Важно

    В консоли управления сбор некоторых событий уровня сервисов включен по умолчанию. Их доставка оплачивается в соответствии с правилами тарификации. Если события уровня сервисов вам не нужны, отключите их сбор.

    • Сбор событийВключено.

    • Выберите сервисы, для которых вы хотите собирать аудитные логи.

    • Для каждого выбранного сервиса укажите область сбора аудитных логов и тип фильтра событий:

      • Получать все — чтобы получать все события сервиса.
      • Выбранные — чтобы получать только выбранные события. Затем выберите события.
      • Исключить — чтобы получать все события, кроме выбранных. Затем выберите события.

  9. Нажмите кнопку Создать.

Вы также можете создать трейл с помощью CLI, Terraform или API.

Примечание

При смене объекта назначения в существующем трейле часть событий может быть потеряна. Чтобы избежать потери данных, для каждого объекта создавайте свой трейл.

Просмотреть аудитные логи

Audit Trails формирует файлы аудитных логов приблизительно раз в 5 минут. Audit Trails создает файлы логов в формате JSON.

Получите доступ к содержимому файла аудитного лога одним из способов:

Вы можете просматривать аудитные логи в реальном времени в интерфейсе Cloud Logging.

  1. В консоли управления перейдите в каталог, в котором находится лог-группа.
  2. Выберите сервис Cloud Logging.
  3. Нажмите на строку с нужной лог-группой.
  4. Перейдите на вкладку Логи.
  5. Настройте фильтры для поиска нужных событий.

Экспортировать аудитные логи в SIEM

Вы можете экспортировать файлы аудитных логов в ваше SIEM-решение.

Что дальше

Следующая
Все инструкции