Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Популярные
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • Машинное обучение
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Облако для интеграторов
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Контент-программа
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Истории успеха
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Документация
  • Блог
Проект Яндекса
© 2025 ООО «Яндекс.Облако»
Yandex Audit Trails
  • Начало работы
    • Все руководства
    • Поиск событий Yandex Cloud в Object Storage
    • Поиск событий Yandex Cloud в Cloud Logging
    • Настройка алертов в Monitoring
    • Настройка реагирования в Cloud Functions
    • Обработка аудитных логов Audit Trails
      • Загрузка аудитных логов в MaxPatrol SIEM
      • Загрузка аудитных логов в SIEM Splunk
      • Загрузка аудитных логов в SIEM ArcSight
  • Управление доступом
  • Правила тарификации
  • Справочник Terraform
  • Метрики Monitoring
  • Справочник событий уровня конфигурации
  • Справочник событий уровня сервисов
  • История изменений
  • Обучающие курсы

В этой статье:

  • Перед началом работы
  • Необходимые платные ресурсы
  • Подготовьте окружение
  • Создайте сервисный аккаунт и назначьте ему роли
  • Создайте статические ключи доступа
  • Создайте бессерверную БД YDB
  • Создайте поток данных
  • Создайте трейл
  • Настройте MaxPatrol SIEM
  • Создайте учетные записи
  • Создайте задачу на сбор данных
  • Как удалить созданные ресурсы
  1. Практические руководства
  2. Экспорт аудитных логов в SIEM
  3. Загрузка аудитных логов в MaxPatrol SIEM

Загрузка аудитных логов в MaxPatrol SIEM

Статья создана
Yandex Cloud
Улучшена
mmerihsesh
Обновлена 28 апреля 2025 г.
  • Перед началом работы
    • Необходимые платные ресурсы
  • Подготовьте окружение
    • Создайте сервисный аккаунт и назначьте ему роли
    • Создайте статические ключи доступа
    • Создайте бессерверную БД YDB
    • Создайте поток данных
  • Создайте трейл
  • Настройте MaxPatrol SIEM
    • Создайте учетные записи
    • Создайте задачу на сбор данных
  • Как удалить созданные ресурсы

MaxPatrol SIEM может читать аудитные логи Yandex Cloud из потока данных Yandex Data Streams. Для полного прохождения руководства у вас должен быть доступ к экземпляру MaxPatrol SIEM.

Чтобы настроить экспорт аудитных логов:

  1. Подготовьте облако к работе.
  2. Подготовьте окружение.
  3. Создайте трейл, который отправляет логи в поток данных Data Streams.
  4. Настройте в MaxPatrol SIEM задачу по сбору данных из потока Data Streams.

Если созданные ресурсы вам больше не нужны, удалите их.

Перед началом работыПеред началом работы

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
  2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

Необходимые платные ресурсыНеобходимые платные ресурсы

В стоимость поддержки инфраструктуры входит:

  • использование потока данных (см. тарифы Data Streams).
  • использование Yandex Managed Service for YDB в бессерверном режиме (см. тарифы Managed Service for YDB).

Подготовьте окружениеПодготовьте окружение

Создайте сервисный аккаунт и назначьте ему ролиСоздайте сервисный аккаунт и назначьте ему роли

От имени сервисного аккаунта трейл будет собирать логи всех ресурсов организации и загружать их в поток данных Data Streams.

Создайте сервисный аккаунт в том же каталоге, в котором создадите трейл, например, в example-folder:

Консоль управления
CLI
  1. В консоли управления выберите каталог example-folder.
  2. В списке сервисов выберите Identity and Access Management.
  3. Нажмите кнопку Создать сервисный аккаунт.
  4. Введите имя сервисного аккаунта maxpatrol-sa.
  5. Нажмите кнопку Создать.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Создайте сервисный аккаунт:

    yc iam service-account create --name maxpatrol-sa
    

    Результат:

    id: aje*****ckg
    folder_id: b1g*****rnj
    created_at: "2022-09-18..."
    name: maxpatrol-sa
    

    Подробнее о команде yc iam service-account create см. в справочнике CLI.

Назначьте сервисному аккаунту maxpatrol-sa роли audit-trails.viewer и yds.editor:

CLI
  1. Роль audit-trails.viewer на организацию:

    yc organization-manager organization add-access-binding \
    --role audit-trails.viewer \
    --id <идентификатор_организации> \
    --service-account-id <идентификатор_сервисного_аккаунта>
    

    Где:

    • --role — назначаемая роль.
    • --id — идентификатор организации, в которой находится сервисный аккаунт.
    • --service-account-id — идентификатор сервисного аккаунта maxpatrol-sa.

    Результат:

    done (1s)
    

    Подробнее о команде yc organization-manager organization add-access-binding см. в справочнике CLI.

  2. Роль yds.editor на каталог example-folder:

    yc resource-manager folder add-access-binding example-folder \
      --role yds.editor \
      --subject serviceAccount:<идентификатор_сервисного_аккаунта>
    

    Где:

    • --role — назначаемая роль.
    • --subject — идентификатор сервисного аккаунта maxpatrol-sa.

    Результат:

    done (1s)
    

    Подробнее о команде yc resource-manager folder add-access-binding см. в справочнике CLI.

Создайте статические ключи доступаСоздайте статические ключи доступа

MaxPatrol SIEM использует статические ключи доступа для авторизации запросов к потоку данных Data Streams.

Консоль управления
CLI
  1. В консоли управления выберите каталог example-folder.
  2. В списке сервисов выберите Identity and Access Management.
  3. На панели слева выберите Сервисные аккаунты.
  4. В открывшемся списке выберите сервисный аккаунт maxpatrol-sa.
  5. Нажмите Создать новый ключ на верхней панели.
  6. Выберите Создать статический ключ доступа.
  7. Задайте описание ключа и нажмите Создать.

Внимание

Сохраните идентификатор и секретный ключ. После закрытия диалога значение ключа будет недоступно.

Создайте статический ключ доступа для сервисного аккаунта maxpatrol-sa:

yc iam access-key create --service-account-name maxpatrol-sa

Результат:

access_key:
id: YCd*****W7t
service_account_id: aje*****ckg
created_at: "2022-09-18..."
key_id: YCA*****5Ws4
secret: YCM76*******I3fk

Внимание

Сохраните идентификатор key_id и секретный ключ secret. Получить значение ключа снова невозможно.

Подробнее о команде yc iam access-key create см. в справочнике CLI.

Создайте бессерверную БД YDBСоздайте бессерверную БД YDB

База данных необходима для потока данных Data Streams.

Консоль управления
CLI
  1. В консоли управления выберите каталог example-folder.
  2. Нажмите Создать ресурс и выберите База данных YDB.
  3. Укажите Имя — maxpatrol-db.
  4. В блоке Тип базы данных выберите Serverless.
  5. Для остальных параметров оставьте значения по умолчанию.
  6. Нажмите Создать базу данных.

Дождитесь, когда статус базы данных изменится на Running.

  1. Создайте базу данных:

    yc ydb database create --name maxpatrol-db --serverless --folder-name example-folder
    

    Где:

    • --name — имя базы данных.
    • --serverless — тип serverless.
    • --folder-name — имя каталога.

    Результат:

    done (7s)
    id: etn*****r5t
    folder_id: b1g*****rnj
    created_at: "2022-09-18..."
    name: maxpatrol-db
    status: PROVISIONING
    ...
    

    Подробнее о команде yc ydb database create см. в справочнике CLI.

  2. Проверьте статус созданной БД:

    yc ydb database get maxpatrol-db
    

    Дождитесь, когда статус базы данных изменится на RUNNING.

Создайте поток данныхСоздайте поток данных

В этот поток данных трейл будет загружать логи ресурсов организации.

Консоль управления
  1. В консоли управления выберите каталог example-folder.
  2. Нажмите Создать ресурс и выберите Data Streams.
  3. В поле База данных выберите maxpatrol-db.
  4. Укажите Имя maxpatrol-stream.
  5. Для остальных параметров оставьте значения по умолчанию.
  6. Нажмите кнопку Создать.

Дождитесь когда статус потока данных сменится на Running.

Создайте трейлСоздайте трейл

Трейл будет собирать аудитные логи уровня конфигурации всех ресурсов вашей организации и загружать их в поток данных maxpatrol-stream.

Консоль управления
  1. В консоли управления выберите каталог example-folder.
  2. Нажмите кнопку Создать ресурс и выберите пункт Audit trail.
  3. Укажите Имя создаваемого трейла maxpatrol-trail.
  4. В блоке Назначение задайте параметры объекта назначения:
    • Назначение — Data Streams.
    • Поток данных — выберите поток данных maxpatrol-stream.
  5. В блоке Сервисный аккаунт выберите сервисный аккаунт maxpatrol-sa.
  6. В блоке Сбор событий c уровня конфигурации задайте параметры сбора аудитных логов уровня конфигурации:
    • Сбор событий — выберите Включено.
    • Ресурс — выберите Организация.
    • Организация — не требует заполнения (содержит имя организации, в котором будет находиться трейл).
    • Облако — оставьте значение по умолчанию Все.
  7. В блоке Сбор событий с уровня сервисов в поле Сбор событий выберите Выключено.
  8. Нажмите Создать.

Подробнее о создании трейла см. в разделе Создание трейла для загрузки аудитных логов.

Настройте MaxPatrol SIEMНастройте MaxPatrol SIEM

Создайте учетные записиСоздайте учетные записи

Учетные записи можно использовать как хранилища секретов. Создайте учетные записи static-key-id и static-key-private, чтобы сохранить в них идентификатор и секретный ключ доступа:

  1. Войдите в веб-интерфейс MaxPatrol SIEM.
  2. В разделе Сбор данных нажмите Учетные записи.
  3. Нажмите Добавить учетную запись → Пароль и укажите параметры:
    • Название — static-key-id;
    • Пароль — идентификатор статического ключа;
    • Подтверждение пароля — повторите идентификатор статического ключа.
  4. Нажмите Сохранить.

Аналогично создайте учетную запись static-key-private, содержащую секретный ключ.

Создайте задачу на сбор данныхСоздайте задачу на сбор данных

Создайте и запустите задачу на сбор данных с профилем Yandex Data Streams:

  1. Войдите в веб-интерфейс MaxPatrol SIEM.
  2. В разделе Сбор данных нажмите Задачи.
  3. На странице Задачи по сбору данных:
    1. На панели инструментов нажмите Создать задачу.
    2. Нажмите Сбор данных.
  4. На странице Создание задачи на сбор данных укажите параметры:
    1. Название — YDS-logs-task.
    2. Профиль — Yandex Data Streams.
    3. В иерархическом списке выберите Запуск сценария.
    4. В блоке Подключение укажите:
      • Учетная запись — static-key-id;
      • Учетная запись для повышения привилегий — static-key-private.
    5. Параметры запуска сценария:
      • database — <идентификатор_БД_maxpatrol-db>;
      • folder — <идентификатор_облака_для_каталога_example-folder>;
      • region_name — ru-central1;
      • stream_name — <имя_потока_maxpatrol-stream>.
    6. На панели Цели сбора данных:
      1. Выберите вкладку Включить.
      2. В поле Сетевые адреса укажите yandex-cloud.
    7. Нажмите Сохранить и запустить.

Чтобы просмотреть логи, перейдите на страницу просмотра событий:

  1. Перейдите на страницу Задачи по сбору данных.
  2. Нажмите на задачу YDS-logs-task.
  3. Нажмите Собранные события → Перейти.

Как удалить созданные ресурсыКак удалить созданные ресурсы

Удалите ресурсы, которые вы больше не будете использовать, чтобы за них не списывалась плата:

  • удалите поток данных maxpatrol-stream;
  • удалите базу данных maxpatrol-db.

Была ли статья полезна?

Предыдущая
Обработка аудитных логов Audit Trails
Следующая
Загрузка аудитных логов в SIEM Splunk
Проект Яндекса
© 2025 ООО «Яндекс.Облако»