Связаться с намиПодключиться

Загрузка аудитных логов в SIEM KUMA с помощью консоли управления, CLI или API

Статья создана
Обновлена 10 января 2025 г.

Чтобы настроить доставку файлов аудитных логов в KUMA:

  1. Подготовьте облако к работе.
  2. Подготовьте окружение.
  3. Создайте бакет.
  4. Создайте трейл.
  5. Создайте сервер.
  6. Смонтируйте бакет на сервере.
  7. Настройте коллектор KUMA.

Если созданные ресурсы вам больше не нужны, удалите их.

Подготовьте облако к работе

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
  2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

В стоимость поддержки создаваемой инфраструктуры Yandex Cloud входят:

  • плата за хранение данных, операции с данными, а также исходящий трафик (см. тарифы Yandex Object Storage);
  • плата за использование симметричного ключа шифрования и выполнение криптографических операций (см. тарифы Yandex Key Management Service);
  • (опционально) плата за постоянно запущенную виртуальную машину (см. тарифы Yandex Compute Cloud);
  • (опционально) плата за использование динамического или статического внешнего IP-адреса (см. тарифы Yandex Virtual Private Cloud).

Кроме этого, для прохождения руководства вы должны иметь лицензию на использование KUMA (не поставляется Yandex Cloud).

Подготовьте окружение

Создайте сервисные аккаунты

Для работы создаваемой инфраструктуры создайте два сервисных аккаунта:

  • kuma-bucket-sa — для бакета Object Storage.
  • kuma-trail-sa — для трейла Audit Trails.
  1. В консоли управления перейдите в каталог, в котором вы создаете инфраструктуру.
  2. В списке сервисов выберите Identity and Access Management.
  3. Нажмите Создать сервисный аккаунт.
  4. Введите имя сервисного аккаунта для бакета: kuma-bucket-sa.
  5. Нажмите Создать.
  6. Повторите шаги 3-5, чтобы создать сервисный аккаунт kuma-trail-sa для трейла.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

  1. Выполните команды:

    yc iam service-account create --name kuma-bucket-sa
yc iam service-account create --name kuma-trail-sa

    Где --name — имена сервисных аккаунтов.

    Результат:

    id: ajecikmc374i********
folder_id: b1g681qpemb4********
created_at: "2024-11-28T14:11:42.593107676Z"
name: kuma-bucket-sa

id: ajedc6uq5o7m********
folder_id: b1g681qpemb4********
created_at: "2024-11-28T14:11:45.856807266Z"
name: kuma-trail-sa

  2. Сохраните идентификаторы (id) созданных сервисных аккаунтов — они понадобятся на следующих шагах.

Подробнее о команде yc iam service-account create читайте в справочнике CLI.

Чтобы создать сервисный аккаунт, воспользуйтесь методом REST API create для ресурса ServiceAccount или вызовом gRPC API ServiceAccountService/Create.

Создайте статический ключ доступа

Чтобы смонтировать бакет на сервере с установленным коллектором KUMA, создайте статический ключ доступа для сервисного аккаунта kuma-bucket-sa.

  1. В консоли управления перейдите в каталог, в котором вы создаете инфраструктуру.

  2. В списке сервисов выберите Identity and Access Management.

  3. На панели слева выберите Сервисные аккаунты.

  4. Выберите сервисный аккаунт kuma-bucket-sa.

  5. На панели сверху нажмите Создать новый ключ и выберите Создать статический ключ доступа.

  6. Задайте описание ключа и нажмите Создать.

  7. Сохраните полученные идентификатор и секретный ключ — они понадобятся позднее при монтировании бакета на сервере.

    Внимание

    После закрытия диалога значение ключа будет недоступно.

  1. Выполните команду:

    yc iam access-key create --service-account-name kuma-bucket-sa

    Где --service-account-name — имя сервисного аккаунта, для которого создается ключ.

    Результат:

    access_key:
  id: aje726ab18go********
  service_account_id: ajecikmc374i********
  created_at: "2024-11-28T14:16:44.936656476Z"
  key_id: YCAJEOmgIxyYa54LY********
secret: YCMiEYFqczmjJQ2XCHMOenrp1s1-yva1********

  2. Сохраните идентификатор (key_id) и секретный ключ (secret) — они понадобятся позднее при монтировании бакета на сервере.

Подробнее о команде yc iam access-key create читайте в справочнике CLI.

Чтобы создать статический ключ доступа, воспользуйтесь методом REST API create для ресурса AccessKey или вызовом gRPC API AccessKeyService/Create.

Создайте ключ шифрования

Для шифрования аудитных логов в бакете создайте симметричный ключ шифрования.

  1. В консоли управления перейдите в каталог, в котором вы создаете инфраструктуру.

  2. В списке сервисов выберите Key Management Service.

  3. На панели слева выберите Симметричные ключи.

  4. Нажмите Создать ключ и задайте атрибуты ключа:

    • Имяkuma-key.
    • Алгоритм шифрованияAES-256.

  5. Нажмите Создать.

  1. Выполните команду:

    yc kms symmetric-key create \
  --name kuma-key \
  --default-algorithm aes-256

    Где:

    Результат:

    id: abje8mf3ala0********
folder_id: b1g681qpemb4********
created_at: "2024-11-28T14:22:06Z"
name: kuma-key
status: ACTIVE
primary_version:
  id: abjuqbth02kf********
  key_id: abje8mf3ala0********
  status: ACTIVE
  algorithm: AES_256
  created_at: "2024-11-28T14:22:06Z"
  primary: true
default_algorithm: AES_256

  2. Сохраните идентификатор симметричного ключа (id) — он понадобится позднее при создании бакета.

Подробнее о команде yc kms symmetric-key create читайте в справочнике CLI.

Чтобы создать симметричный ключ шифрования, воспользуйтесь методом REST API create для ресурса SymmetricKey или вызовом gRPC API SymmetricKeyService/Create.

Назначьте роли сервисным аккаунтам

Назначьте сервисным аккаунтам следующие роли на каталог и созданный ранее ключ шифрования:

  • Сервисному аккаунту kuma-trail-sa:

    • audit-trails.viewer — на каталог.
    • storage.uploader — на каталог.
    • kms.keys.encrypterDecrypter — на ключ шифрования.

  • Сервисному аккаунту kuma-bucket-sa:

    • storage.viewer — на каталог.
    • kms.keys.encrypterDecrypter — на ключ шифрования.

  1. Назначьте роли на каталог:

    1. В консоли управления перейдите в каталог, в котором вы создаете инфраструктуру.

    2. Перейдите на вкладку Права доступа.

    3. Нажмите Настроить доступ.

    4. В открывшемся окне выберите раздел Сервисные аккаунты.

    5. В списке выберите сервисный аккаунт kuma-trail-sa, при необходимости воспользуйтесь поиском.

    6. Нажмите Добавить роль и в появившемся окне выберите роль audit-trails.viewer.

      Повторите этот шаг и добавьте роль storage.uploader.

    7. Нажмите Сохранить.

    Таким же образом назначьте сервисному аккаунту kuma-bucket-sa роль storage.viewer на каталог.

  2. Назначьте роли на ключ шифрования:

    1. В списке сервисов выберите Key Management Service.
    2. На панели слева выберите Симметричные ключи и нажмите на строку с ключом kuma-key.
    3. Перейдите в раздел Права доступа и нажмите Назначить роли.
    4. Выберите сервисный аккаунт kuma-trail-sa.
    5. Нажмите Добавить роль и выберите роль kms.keys.encrypterDecrypter.
    6. Нажмите Сохранить.

    Таким же образом назначьте сервисному аккаунту kuma-bucket-sa роль kms.keys.encrypterDecrypter на ключ шифрования.

  1. Назначьте сервисному аккаунту kuma-bucket-sa роль storage.viewer на каталог:

    yc resource-manager folder add-access-binding <имя_или_идентификатор_каталога> \
  --role storage.viewer \
  --subject serviceAccount:<идентификатор_kuma-bucket-sa>

    Где:

    • <имя_или_идентификатор_каталога> — имя или идентификатор каталога, на который назначается роль.
    • --role — идентификатор роли.
    • --subject — тип субъекта и идентификатор сервисного аккаунта, которому назначается роль.

    Результат:

    effective_deltas:
  - action: ADD
    access_binding:
      role_id: storage.viewer
      subject:
        id: ajecikmc374i********
        type: serviceAccount

    Аналогичным образом назначьте сервисному аккаунту kuma-trail-sa роли audit-trails.viewer и storage.uploader на каталог.

    Подробнее о команде yc resource-manager folder add-access-binding читайте в справочнике CLI.

  2. Назначьте сервисному аккаунту kuma-bucket-sa роль kms.keys.encrypterDecrypter на ключ шифрования:

    yc kms symmetric-key add-access-binding kuma-key \
  --role kms.keys.encrypterDecrypter \
  --subject serviceAccount:<идентификатор_kuma-bucket-sa>

    Где:

    • --role — идентификатор роли.
    • --subject — тип субъекта и идентификатор сервисного аккаунта, которому назначается роль.

    Результат:

    ...1s...done (4s)

    Аналогичным образом назначьте сервисному аккаунту kuma-trail-sa роль kms.keys.encrypterDecrypter на ключ шифрования.

    Подробнее о команде yc kms symmetric-key add-access-binding читайте в справочнике CLI.

Чтобы назначить сервисному аккаунту роль, воспользуйтесь методом REST API setAccessBindings для ресурса ServiceAccount или вызовом gRPC API ServiceAccountService/SetAccessBindings.

Создайте бакет

Создайте бакет, в который трейл будет сохранять аудитные логи, и включите шифрование.

  1. В консоли управления перейдите в каталог, в котором вы создаете инфраструктуру.

  2. В списке сервисов выберите Object Storage.

  3. Справа сверху нажмите Создать бакет.

  4. В поле Имя укажите имя бакета, например my-audit-logs-for-kuma.

    Примечание

    Имя бакета должно быть уникальным для всего Object Storage. Нельзя создать два бакета с одинаковыми именами даже в разных каталогах разных облаков.

  5. В поле Макс. размер задайте размер создаваемого бакета или включите опцию Без ограничения.

  6. Значения остальных параметров оставьте без изменения и нажмите Создать бакет.

  7. На открывшейся странице со списком бакетов выберите созданный бакет.

  8. В меню слева выберите Безопасность и перейдите на вкладку Шифрование.

  9. В поле Ключ KMS выберите созданный ранее ключ kuma-key.

  10. Нажмите Сохранить.

  1. Создайте бакет:

    yc storage bucket create --name <имя_бакета>

    Где --name — имя бакета, например my-audit-logs-for-kuma.

    Примечание

    Имя бакета должно быть уникальным для всего Object Storage. Нельзя создать два бакета с одинаковыми именами даже в разных каталогах разных облаков.

    Результат:

    name: my-audit-logs-for-kuma
folder_id: b1g681qpemb4********
anonymous_access_flags:
  read: false
  list: false
default_storage_class: STANDARD
versioning: VERSIONING_DISABLED
acl: {}
created_at: "2024-11-28T15:01:20.816656Z"

    Подробнее о команде yc storage bucket create читайте в справочнике CLI.

  2. Включите шифрование для созданного бакета:

    yc storage bucket update \
  --name <имя_бакета> \
  --encryption key-id=<идентификатор_симметричного_ключа>

    Где:

    • --name — имя бакета.
    • --encryption — идентификатор симметричного ключа, полученный при его создании.

    Результат:

    name: my-audit-logs-for-kuma
folder_id: b1g681qpemb4********
default_storage_class: STANDARD
versioning: VERSIONING_DISABLED
acl: {}
created_at: "2024-11-28T15:01:20.816656Z"

    Подробнее о команде yc storage bucket update читайте в справочнике CLI.

Чтобы создать бакет, воспользуйтесь методом REST API create для ресурса Bucket, вызовом gRPC API BucketService/Create или методом S3 API create.

Создайте трейл

Для сбора и доставки аудитных логов создайте трейл.

  1. В консоли управления перейдите в каталог, в котором вы создаете инфраструктуру.

  2. Выберите сервис Audit Trails.

  3. Нажмите Создать трейл и в открывшемся окне:

    1. В поле Имя задайте имя трейла kuma-trail.

    2. В блоке Назначение задайте параметры объекта назначения:

      • НазначениеObject Storage.
      • Бакет — созданный ранее бакет, например my-audit-logs-for-kuma.
      • Префикс объекта — необязательный параметр, участвует в полном имени файла аудитного лога.

      Примечание

      Используйте префикс, если вы храните аудитные логи и сторонние данные в одном и том же бакете. Не используйте одинаковый префикс для логов и других объектов в бакете, так как в этом случае логи и сторонние объекты могут перезаписать друг друга.

    3. Убедитесь, что в поле Ключ шифрования указан ключ шифрования kuma-key. Если ключ шифрования не задан, нажмите Добавить и выберите этот ключ.

    4. В блоке Сбор событий c уровня конфигурации задайте параметры сбора аудитных логов уровня конфигурации:

      • Сбор событий — выберите Включено.
      • Ресурс — выберите Каталог.
      • Каталог — не требует заполнения, содержит имя текущего каталога.

    5. В блоке Сервисный аккаунт выше выберите сервисный аккаунт kuma-trail-sa.

    6. В блоке Сбор событий с уровня сервисов оставьте значение Выключено.

    7. Нажмите Создать.

Выполните команду:

yc audit-trails trail create \
  --name kuma-trail \
  --destination-bucket <имя_бакета> \
  --destination-bucket-object-prefix <префикс> \
  --service-account-id <идентификатор_kuma-trail-sa> \
  --filter-from-cloud-id <идентификатор_облака> \
  --filter-some-folder-ids <идентификатор_каталога>

Где:

  • --name — имя трейла.
  • --destination-bucketимя бакета, созданного ранее, в который будут загружаться аудитные логи.
  • --destination-bucket-object-prefixпрефикс, который будет добавлен к именам объектов с аудитными логами в бакете. Необязательный параметр, участвует в полном имени файла аудитного лога.
  • --service-account-idидентификатор сервисного аккаунта kuma-trail-sa, полученный ранее, от имени которого трейл будет загружать файлы аудитного лога в бакет.
  • --filter-from-cloud-idидентификатор облака, для ресурсов которого трейл будет собирать аудитные логи.
  • --filter-some-folder-idsидентификатор каталога, для ресурсов которого трейл будет собирать аудитные логи.

Результат:

id: cnpabi372eer********
folder_id: b1g681qpemb4********
created_at: "2024-11-28T15:33:28.057Z"
updated_at: "2024-11-28T15:33:28.057Z"
name: kuma-trail
destination:
  object_storage:
    bucket_id: my-audit-logs-for-kuma
    object_prefix: kuma
service_account_id: ajedc6uq5o7m********
status: ACTIVE
cloud_id: b1gia87mbaom********
filtering_policy:
  management_events_filter:
    resource_scopes:
      - id: b1g681qpemb4********
        type: resource-manager.folder

Подробнее о команде yc audit-trails trail create читайте в справочнике CLI.

Чтобы создать трейл, воспользуйтесь методом REST API create для ресурса Trail или вызовом gRPC API TrailService/Create.

Создайте сервер

В качестве сервера для установки коллектора KUMA вы можете использовать виртуальную машину Compute Cloud или свое оборудование. В данном руководстве используется ВМ Compute Cloud в облачной сети Yandex Virtual Private Cloud.

Создайте сеть и подсеть

  1. В консоли управления перейдите в каталог, в котором вы создаете инфраструктуру.
  2. В списке сервисов выберите Virtual Private Cloud.
  3. Нажмите Создать сеть.
  4. Задайте имя сети, например kuma-network.
  5. Убедитесь, что опция Создать подсети включена.
  6. Нажмите Создать сеть.

  1. Создайте облачную сеть:

    yc vpc network create --name kuma-network

    Где --name — имя сети.

    Результат:

    id: enpnmb4jvubr********
folder_id: b1g681qpemb4********
created_at: "2024-11-27T22:55:55Z"
name: kuma-network
default_security_group_id: enpjgspepn8k********

    Подробнее о команде yc vpc network create читайте в справочнике CLI.

  2. Создайте подсеть:

    yc vpc subnet create \
  --name kuma-network-ru-central1-b \
  --network-name kuma-network \
  --zone ru-central1-b \
  --range 10.1.0.0/24

    Где:

    • --name — имя подсети.
    • --network-name — имя сети, в которой создается подсеть.
    • --zoneзона доступности подсети.
    • --rangeCIDR подсети.

    Результат:

    id: e2l7b3gpnhqn********
folder_id: b1g681qpemb4********
created_at: "2024-11-27T22:57:48Z"
name: kuma-network-ru-central1-b
network_id: enpnmb4jvubr********
zone_id: ru-central1-b
v4_cidr_blocks:
  - 10.1.0.0/24

    Подробнее о команде yc vpc subnet create читайте в справочнике CLI.

  1. Чтобы создать облачную сеть, воспользуйтесь методом REST API create для ресурса Network или вызовом gRPC API NetworkService/Create.

  2. Чтобы создать подсеть, воспользуйтесь методом REST API create для ресурса Subnet или вызовом gRPC API SubnetService/Create.

Создайте виртуальную машину

  1. В консоли управления выберите каталог, в котором вы создаете инфраструктуру.

  2. В списке сервисов выберите Compute Cloud.

  3. На панели слева выберите Виртуальные машины.

  4. Нажмите Создать виртуальную машину.

  5. В блоке Образ загрузочного диска выберите образ Ubuntu 22.04 LTS.

  6. В блоке Расположение выберите зону доступности ru-central1-b.

  7. В блоке Сетевые настройки:

    • В поле Подсеть выберите подсеть kuma-network-ru-central1-b.
    • В поле Публичный адрес выберите Автоматически, чтобы назначить ВМ случайный внешний IP-адрес из пула Yandex Cloud, или выберите статический адрес из списка, если вы зарезервировали его заранее.

  8. В блоке Доступ выберите вариант SSH-ключ и укажите данные для доступа к ВМ:

    • В поле Логин введите имя пользователя, который будет создан на ВМ, например yc-user.

      • Длина — от 3 до 63 символов.
      • Может содержать строчные и заглавные буквы латинского и русского алфавита, цифры, дефисы, подчеркивания и пробелы.
      • Первый символ должен быть буквой. Последний символ не может быть дефисом, подчеркиванием или пробелом.

      Внимание

      Не используйте логин root или другие имена, зарезервированные операционной системой. Для выполнения операций, требующих прав суперпользователя, используйте команду sudo.

    • В поле SSH-ключ выберите SSH-ключ, сохраненный в вашем профиле пользователя организации.

      Если в вашем профиле нет сохраненных SSH-ключей или вы хотите добавить новый ключ:

      • Нажмите кнопку Добавить ключ.
      • Задайте имя SSH-ключа.
      • Загрузите или вставьте содержимое открытого SSH-ключа. Пару SSH-ключей для подключения к ВМ по SSH необходимо создать самостоятельно.
      • Нажмите кнопку Добавить.

      SSH-ключ будет добавлен в ваш профиль пользователя организации.

      Если в организации отключена возможность добавления пользователями SSH-ключей в свои профили, добавленный открытый SSH-ключ будет сохранен только в профиле пользователя создаваемой виртуальной машины.

  9. В блоке Общая информация задайте имя ВМ: kuma-server.

  10. Нажмите Создать ВМ.

Выполните команду:

yc compute instance create \
  --name kuma-server \
  --zone ru-central1-b \
  --network-interface subnet-name=kuma-network-ru-central1-b,nat-ip-version=ipv4 \
  --create-boot-disk image-folder-id=standard-images,image-id=fd8ulbhv5dpakf3io1mf \
  --ssh-key <SSH-ключ>

Где:

  • --name — имя ВМ.

  • --zoneзона доступности, которая соответствует подсети kuma-network-ru-central1-b.

  • --network-interface — сетевые настройки:

  • --create-boot-disk — настройки загрузочного диска, где image-id — идентификатор публичного образа Ubuntu 22.04 LTS.

  • --ssh-key — путь к файлу с открытым SSH-ключом и его имя, например: ~/.ssh/id_ed25519.pub. Пару SSH-ключей для подключения к ВМ по SSH необходимо создать самостоятельно.

    При создании ВМ в ее операционной системе будет создан пользователь yc-user — используйте это имя для подключения к ВМ по SSH.

Результат:

id: epd4vr5ra728********
folder_id: b1g681qpemb4********
created_at: "2024-11-27T23:00:38Z"
name: kuma-server
zone_id: ru-central1-b
platform_id: standard-v2
resources:
  memory: "2147483648"
  cores: "2"
  core_fraction: "100"
status: RUNNING
metadata_options:
  gce_http_endpoint: ENABLED
  aws_v1_http_endpoint: ENABLED
  gce_http_token: ENABLED
  aws_v1_http_token: DISABLED
boot_disk:
  mode: READ_WRITE
  device_name: epdk5emph7a4********
  auto_delete: true
  disk_id: epdk5emph7a4********
network_interfaces:
  - index: "0"
    mac_address: d0:0d:4f:ec:bb:51
    subnet_id: e2l7b3gpnhqn********
    primary_v4_address:
      address: 10.1.0.4
      one_to_one_nat:
        address: 84.2**.***.***
        ip_version: IPV4
serial_port_settings:
  ssh_authorization: OS_LOGIN
gpu_settings: {}
fqdn: epd4vr5ra728********.auto.internal
scheduling_policy: {}
network_settings:
  type: STANDARD
placement_policy: {}
hardware_generation:
  legacy_features:
    pci_topology: PCI_TOPOLOGY_V1

Подробнее о команде yc compute instance create читайте в справочнике CLI.

Чтобы создать ВМ, воспользуйтесь методом REST API create для ресурса Instance или вызовом gRPC API InstanceService/Create.

Смонтируйте бакет на сервере

  1. Подключитесь к серверу по SSH.

  2. Создайте нового пользователя kuma:

    sudo useradd kuma

  3. Создайте домашнюю директорию пользователя kuma:

    sudo mkdir /home/kuma

  4. Создайте файл со статическим ключом доступа и выдайте пользователю kuma права на него:

    sudo bash -c 'echo <идентификатор_ключа_доступа>:<секретный_ключ_доступа> > /home/kuma/.passwd-s3fs'
sudo chmod 600 /home/kuma/.passwd-s3fs
sudo chown -R kuma:kuma /home/kuma

    Где <идентификатор_ключа_доступа> и <секретный_ключ_доступа> — сохраненные ранее значения статического ключа доступа сервисного аккаунта kuma-bucket-sa.

  5. Установите пакет s3fs:

    sudo apt install s3fs

  6. Создайте директорию, которая будет служить точкой монтирования для бакета, и выдайте пользователю kuma права на эту директорию:

    sudo mkdir /var/log/yandex-cloud/
sudo chown kuma:kuma /var/log/yandex-cloud/

  7. Смонтируйте созданный ранее бакет, указав его имя:

    sudo s3fs <имя_бакета> /var/log/yandex-cloud \
  -o passwd_file=/home/kuma/.passwd-s3fs \
  -o url=https://storage.yandexcloud.net \
  -o use_path_request_style \
  -o uid=$(id -u kuma) \
  -o gid=$(id -g kuma)

    Вы можете настроить автоматическое монтирование бакета при запуске операционной системы, для этого откройте файл /etc/fstab (команда sudo nano /etc/fstab) и добавьте в него строку:

    s3fs#<имя_бакета> /var/log/yandex-cloud fuse _netdev,uid=<kuma_uid>,gid=<kuma_gid>,use_path_request_style,url=https://storage.yandexcloud.net,passwd_file=/home/kuma/.passwd-s3fs 0 0

    Где:

    • <имя_бакета> — имя созданного ранее бакета, например: my-audit-logs-for-kuma.

    • <kuma_uid> — идентификатор пользователя kuma в операционной системе ВМ.

    • <kuma_gid> — идентификатор группы пользователей kuma в операционной системе ВМ.

      Чтобы узнать значения <kuma_uid> и <kuma_gid>, в терминале выполните команду id kuma.

  8. Убедитесь, что бакет смонтирован:

    sudo ls /var/log/yandex-cloud/

    Если все настроено верно, команда вернет текущее содержимое бакета с аудитными событиями.

Настройка передачи событий Yandex Cloud завершена. События будут располагаться в следующих директориях в JSON-файлах:

/var/log/yandex-cloud/{audit_trail_id}/{year}/{month}/{day}/*.json

Настройте коллектор KUMA

На этом шаге вам понадобятся файлы дистрибутива и лицензии, входящие в комплект поставки KUMA. Используйте их, чтобы установить и настроить коллектор в сетевой инфраструктуре KUMA. Подробнее см. в инструкции.

После успешного завершения настройки аудитные события начнут поставляться в KUMA. Веб-интерфейс KUMA позволяет выполнять поиск связанных событий.

Как удалить созданные ресурсы

Чтобы перестать платить за созданные ресурсы:

  1. Удалите виртуальную машину.
  2. Удалите статический публичный IP-адрес, если вы его зарезервировали.
  3. Удалите подсеть.
  4. Удалите сеть.
  5. Удалите трейл.
  6. Удалите все объекты в бакете, затем удалите сам бакет.
  7. Удалите ключ шифрования KMS.

См. также

Предыдущая
Обзор
Следующая
Terraform