Связаться с намиПодключиться

Поиск событий Yandex Cloud в Yandex Query

Статья создана
Обновлена 22 октября 2024 г.

В Yandex Query интегрирована поддержка Audit Trails. Вы можете анализировать события ресурсов Yandex Cloud, выполняя аналитические и потоковые запросы на языке YQL.

Аналитические запросы можно выполнять для логов, которые хранятся в бакете, а потоковые — для логов в потоке данных Yandex Data Streams.

Чтобы подключить бакет с аудитными логами к Yandex Query и выполнить запросы на языке YQL:

  1. Подготовьте окружение.
  2. Создайте соединение между трейлом и YQ.
  3. Выполните запрос к логам в Object Storage.

Если созданные ресурсы вам больше не нужны, удалите их.

Перед началом работы

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
  2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

В стоимость поддержки инфраструктуры входит плата за использование бакета (см. тарифы Object Storage).

Подготовьте окружение

Создайте бакет для аудитных логов

  1. В консоли управления перейдите в каталог, в котором хотите создать бакет, например example-folder.
  2. Выберите сервис Object Storage.
  3. Нажмите Создать бакет.
  4. На странице создания бакета:
    • укажите имя бакета в соответствии с правилами именования;
    • в полях Доступ на чтение объектов, Доступ к списку объектов и Доступ на чтение настроек выберите Ограниченный;
    • для остальных параметров оставьте значения по умолчанию.
  5. Нажмите Создать бакет.

Создайте сервисные аккаунты

Создайте сервисный аккаунт trail-sa:

  1. В консоли управления перейдите в каталог example-folder.
  2. В списке сервисов выберите Identity and Access Management.
  3. Нажмите кнопку Создать сервисный аккаунт.
  4. Укажите Имяtrail-sa.
  5. Нажмите кнопку Создать.

Аналогично создайте сервисный аккаунт с именем bucket-yq-sa.

Назначьте права сервисным аккаунтам

Назначьте сервисному аккаунту trail-sa роли audit-trails.viewer и storage.uploader:

  1. Роль audit-trails.viewer на организацию:

    yc organization-manager organization add-access-binding \
--role audit-trails.viewer \
--id <идентификатор_организации> \
--service-account-id <идентификатор_сервисного_аккаунта>

    Где --service-account-id — идентификатор сервисного аккаунта trail-sa.

    Результат:

    done (1s)

    Подробнее о команде yc organization-manager organization add-access-binding см. в справочнике CLI.

  2. Роль storage.uploader на каталог example-folder:

    yc resource-manager folder add-access-binding example-folder \
  --role storage.uploader \
  --subject serviceAccount:<<идентификатор_сервисного_аккаунта>

    Где --subject — идентификатор сервисного аккаунта trail-sa.

    Результат:

    done (1s)

    Подробнее о команде yc resource-manager folder add-access-binding см. в справочнике CLI.

Назначьте сервисному аккаунту bucket-yq-sa роль storage.viewer на каталог example-folder:

yc resource-manager folder add-access-binding example-folder \
    --role storage.viewer \
    --subject serviceAccount:<идентификатор_сервисного_аккаунта>

Где --subject — идентификатор сервисного аккаунта bucket-yq-sa.

Результат:

done (1s)

Подробнее о команде yc resource-manager folder add-access-binding см. в справочнике CLI.

Создайте трейл

  1. В консоли управления выберите каталог example-folder.

  2. Выберите сервис Audit Trails.

  3. Нажмите кнопку Создать трейл.

  4. В поле Имя укажите logsyq.

  5. В блоке Назначение задайте параметры объекта назначения:

  6. В блоке Сервисный аккаунт выберите trail-sa.

  7. В блоке Сбор событий c уровня конфигурации задайте параметры сбора аудитных логов уровня конфигурации:

    • Сбор событий — выберите Включено.
    • Ресурс — выберите Организация.
    • Организация — не требует заполнения, содержит имя текущей организации.
    • Облако — оставьте значение по умолчанию Все.

  8. В блоке Сбор событий с уровня сервисов в поле Сбор событий выберите Выключено.

  9. Нажмите кнопку Создать.

Создайте соединение между трейлом и YQ

Соединение необходимо создать только при первом подключении трейла к YQ.

  1. В консоли управления выберите каталог example-folder.
  2. Выберите сервис Audit Trails.
  3. Выберите трейл logsyq.
  4. Нажмите Обработать в YQ.
  5. Создайте соединение:
    • выберите Сервисный аккаунт bucket-yq-sa;
    • для остальных параметров оставьте значения по умолчанию.
  6. Нажмите Создать.
  7. В окне с параметрами привязки к данным нажмите Создать.

Вы перейдете на страницу создания запроса к логам трейла.

Выполните запрос к логам в Object Storage

Откройте страницу создания аналитического запроса к логам Audit Trails:

  1. В консоли управления выберите каталог с трейлом.
  2. В списке сервисов выберите Audit Trails.
  3. Выберите трейл, для которого настроено соединение с YQ.
  4. Нажмите Обработать в YQ, чтобы перейти на страницу выполнения аналитического запроса.

Выполните запросы событий для привязки audit-trails-logsyq-object_storage:

  1. Удаление каталога:

    1. Выберите в списке запрос 1. Найти, кто удалил каталог.

    2. Отредактируйте запрос, указав идентификатор каталога:

      SELECT * FROM bindings.`audit-trails-logsyq-object_storage`
WHERE
    JSON_VALUE(data, "$.event_type") = 'yandex.cloud.audit.resourcemanager.DeleteFolder' 
    and JSON_VALUE(data, "$.details.folder_name") = '<идентификатор_каталога>' 
    LIMIT 100;

    3. Нажмите Выполнить.

  2. Включение доступа по серийной консоли:

    1. Выберите в списке запрос 6. Изменение ВМ — добавление доступа к серийной консоли.

    2. Отредактируйте запрос, указав количество отображаемых записей:

      SELECT * FROM bindings.`<audit-trails-logsyq-object_storage>`
WHERE
    JSON_VALUE(data, "$.event_type") = 'yandex.cloud.audit.compute.UpdateInstance' 
    and JSON_VALUE(data, "$.details.metadata_serial_port_enable") = '1' 
    LIMIT <количество_записей>;

    3. Нажмите Выполнить.

  3. Изменение прав доступ к бакету Object Storage:

    1. Выберите в списке запрос 11. Подозрительные действия с хранилищем логов Audit Trails (Object Storage Bucket).

    2. Отредактируйте запрос, указав количество отображаемых записей:

      SELECT * FROM bindings.`audit-trails-logsyq-object_storage`
WHERE
    (JSON_VALUE(data, "$.event_type") = 'yandex.cloud.audit.storage.BucketAclUpdate' 
    or JSON_VALUE(data, "$.event_type") = 'yandex.cloud.audit.storage.BucketPolicyUpdate') 
    LIMIT <количество_записей>;

    3. Нажмите Выполнить.

  4. Назначение права администратора:

    1. Выберите в списке запрос 20. Назначение прав admin (на ресурсы: folder, cloud).

    2. Отредактируйте запрос, указав количество отображаемых записей:

      SELECT * FROM bindings.`audit-trails-logsyq-object_storage`
WHERE
    JSON_VALUE(data, "$.details.access_binding_deltas.access_binding.role_id") = 'admin' 
    LIMIT <количество_записей>;

    3. Нажмите Выполнить.

Как удалить созданные ресурсы

Если для выполнения руководства вы создали отдельный бакет, вы можете удалить его, чтобы перестать платить за использование бакета.

Предыдущая
Посмотреть операции с трейлом
Следующая
Поиск событий Yandex Cloud в Object Storage