Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Популярные
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • Машинное обучение
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Облако для интеграторов
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Контент-программа
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Истории успеха
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Документация
  • Блог
Проект Яндекса
© 2025 ООО «Яндекс.Облако»
Yandex Audit Trails
  • Начало работы
    • Все руководства
    • Поиск событий Yandex Cloud в Object Storage
    • Поиск событий Yandex Cloud в Cloud Logging
    • Настройка алертов в Monitoring
    • Настройка реагирования в Cloud Functions
    • Обработка аудитных логов Audit Trails
  • Управление доступом
  • Правила тарификации
  • Справочник Terraform
  • Метрики Monitoring
  • Справочник событий уровня конфигурации
  • Справочник событий уровня сервисов
  • История изменений
  • Обучающие курсы

В этой статье:

  • Перед началом работы
  • Сценарии поиска
  1. Практические руководства
  2. Поиск событий Yandex Cloud в Object Storage

Поиск событий Yandex Cloud в Object Storage

Статья создана
Yandex Cloud
Обновлена 4 марта 2025 г.
  • Перед началом работы
  • Сценарии поиска

Перед началом работыПеред началом работы

  1. Установите и настройте программу s3fs или goofys, позволяющую монтировать бакеты Object Storage через FUSE.
  2. Смонтируйте бакет с аудитными логами к вашей файловой системе через s3fs или goofys.
  3. Установите утилиту jq для поиска по формату JSON.

Сценарии поискаСценарии поиска

  1. Для поиска по нескольким файлам используйте команду find. В качестве аргумента командной строки укажите путь к папке, к которой подключен бакет с аудитными логами, или ее подпапку с логами за определенный месяц или сутки.

    Пример команды для поиска событий по типу:

    find <путь_к_папке> -type f -exec cat {} \; | jq  '.[] | select( .event_type == "yandex.cloud.audit.iam.CreateServiceAccount")'
    
  2. Чтобы найти, кто удалил каталог в облаке, необходимо искать по полю eventType (тип события) по всем файлам за период с фильтром по идентификатору каталога:

    find <путь_к_папке> -type f -exec cat {} \; | jq  '.[] | select( .event_type == "yandex.cloud.audit.resourcemanager.DeleteFolder" and .details.folder_id == "<идентификатор_каталога>") | .authentication'
    
  3. Чтобы найти, кто создал/остановил/перезапустил/удалил виртуальную машину, необходимо искать по полю eventType по всем файлам за период с фильтром по идентификатору ВМ:

    find <путь_к_папке> -type f -exec cat {} \; | jq  '.[] | select((.event_type | test("yandex\\.cloud\\.audit\\.compute\\..*Instance")) and .details.instance_id == "<идентификатор_ВМ>") | .authentication'
    
  4. Чтобы найти, какие действия совершал пользователь за период времени, необходимо искать по идентификатору субъекта:

    find <путь_к_папке> -type f -exec cat {} \; | jq  '.[] | select(.authentication.subject_id == "<идентификатор_пользователя>" and .event_time > "2021-03-01" and .event_time < "2021-04-01")'
    

    Так же можно искать по имени субъекта:

    find <путь_к_папке> -type f -exec cat {} \; | jq  '.[] | select(.authentication.subject_name == "<имя_пользователя>" and .event_time > "2021-03-01" and .event_time < "2021-04-01")'
    
  5. Чтобы найти, какие события происходили по объектам определенного каталога, необходимо искать по идентификатору каталога:

    find <путь_к_папке> -type f -exec cat {} \; | jq  '.[] | select(.resource_metadata != null and .resource_metadata.path != null) | select( .resource_metadata.path[] | .resource_type == "resource-manager.folder" and .resource_id == "<идентификатор_каталога>")'
    

    Так же можно искать по имени каталога:

    find <путь_к_папке> -type f -exec cat {} \; | jq  '.[] | select(.resource_metadata != null and .resource_metadata.path != null) | select( .resource_metadata.path[] | .resource_type == "resource-manager.folder" and .resource_name == "<имя_каталога>")'
    

См. такжеСм. также

  • Аудитный лог
  • Документация jq
  • s3fs
  • goofys

Была ли статья полезна?

Предыдущая
Все руководства
Следующая
Поиск событий Yandex Cloud в Cloud Logging
Проект Яндекса
© 2025 ООО «Яндекс.Облако»