Связаться с намиПодключиться

Поиск событий Yandex Cloud в Cloud Logging

Статья создана
Обновлена 13 декабря 2023 г.

Кто удалил каталог

Поиск по идентификатору:

json_payload.event_type="yandex.cloud.audit.resourcemanager.DeleteFolder" and json_payload.details.folder_id="<идентификатор_каталога>"

Поиск по названию:

json_payload.event_type="yandex.cloud.audit.resourcemanager.DeleteFolder" and json_payload.details.folder_name="<имя_каталога>"

Кто создал/остановил/перезапустил/удалил виртуальную машину

Поиск по идентификатору виртуальной машины:

json_payload.details.instance_id="<идентификатор_виртуальной_машины>" and (json_payload.event_type="yandex.cloud.audit.compute.CreateInstance" or json_payload.event_type="yandex.cloud.audit.compute.UpdateInstance" or json_payload.event_type="yandex.cloud.audit.compute.DeleteInstance" or json_payload.event_type="yandex.cloud.audit.compute.StartInstance" or json_payload.event_type="yandex.cloud.audit.compute.StopInstance" or json_payload.event_type="yandex.cloud.audit.compute.RestartInstance")

Какие действия совершал конкретный пользователь за период времени

Поиск по идентификатору пользователя:

json_payload.authentication.subject_id="<идентификатор_пользователя>" and json_payload.event_time>"2021-03-01" and json_payload.event_time<"2021-04-01"

Поиск по имени пользователя:

json_payload.authentication.subject_name="<имя_пользователя>" and json_payload.event_time>"2021-03-01" and json_payload.event_time<"2021-04-01"

Поиск событий по объектам определенного каталога

Поиск по идентификатору каталога:

json_payload.resource_metadata.path[1].resource_type="resource-manager.folder" and json_payload.resource_metadata.path[1].resource_id="<идентификатор_каталога>") or (json_payload.resource_metadata.path[2].resource_type="resource-manager.folder" and json_payload.resource_metadata.path[2].resource_id="<идентификатор_каталога>"

Поиск по имени каталога:

json_payload.resource_metadata.path[1].resource_type="resource-manager.folder" and json_payload.resource_metadata.path[1].resource_name="<имя_каталога>") or (json_payload.resource_metadata.path[2].resource_type="resource-manager.folder" and json_payload.resource_metadata.path[2].resource_name="<имя_каталога>"

Что дальше

Ознакомьтесь с примерами событий в Yandex Cloud Security Solution Library.

Примечание

Yandex Cloud Security Solution Library — это набор примеров и рекомендаций по построению безопасной инфраструктуры в Yandex Cloud, собранных в публичном репозитории на GitHub.

Предыдущая
Поиск событий Yandex Cloud в Object Storage
Следующая
Настройка алертов в Monitoring