Обработка аудитных логов Yandex Audit Trails
Yandex Audit Trails — сервис для сбора и выгрузки аудитных логов ресурсов Yandex Cloud в различные принимающие системы, в том числе в Yandex Object Storage и в Yandex Data Streams. Audit Trails и Yandex Query интегрированы между собой, что позволяет решать задачи поиска в аудитных логах.
Обработав аудитные логи с помощью Query, можно получить, например, такую информацию:
- кто удалил каталог облака;
- кто добавил доступ к серийной консоли ВМ Yandex Compute Cloud;
- кто изменил права на доступ к бакету Object Storage;
- кто получил права администратора.
Заранее подготовленные запросы для таких сценариев доступны в репозитории на GitHub. Так же вы можете создавать свои собственные запросы на языке YQL.
В этом сценарии вы создадите трейлы, которые будут загружать аудитные логи всех ресурсов каталога в бакет Object Storage, а также отправлять их в поток Data Streams. Далее вы выполните аналитический и потоковый запросы к данным логов с помощью Query.
Перед началом работы
Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:
- Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
- На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе
ACTIVEилиTRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.
Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.
Подробнее об облаках и каталогах.
Настройте Audit Trails
- для загрузки аудитных логов каталога в бакет Object Storage;
- для отправки аудитных логов каталога в поток Data Streams.
Настройте интеграцию Audit Trails и Query
Чтобы настроить интеграцию:
- Перейдите к списку трейлов в консоли Yandex Cloud.
- Выберите созданный ранее трейл для загрузки аудитных логов облака в бакет и нажмите кнопку Обработать в YQ.
- При первом переходе из Audit Trails в Query необходимо выполнить настройку интеграции:
- В интерфейсе Query в диалоге создания соединения выберите сервисный аккаунт, от имени которого будет выполнять чтение данных из Object Storage и нажмите кнопку Создать.
- В интерфейсе Query в диалоге создания привязки к данным проверьте предустановленные параметры, нажав кнопку Предпросмотр, после чего завершите интеграцию, нажав кнопку Создать.
Вы будете автоматически перемещены на панель Audit trails интерфейса Query.
Выполните аналогичные действия для созданного ранее трейла, который отправляет данные в поток Data Streams.
Аналитические запросы к данным в Object Storage
Чтобы выполнить запрос к аналитическим данным Audit Trails, которые хранятся в Object Storage:
- На панели Audit trails интерфейса Query выберите тип анализа данных Аналитический, а в списке привязок к данным выберите
audit-trails-test-object_storage. - Выберите нужный запрос к данным из Object Storage из списка и нажмите кнопку Выполнить.
Результаты аналитического запроса можно:
- скачать через интерфейс пользователя Query с помощью кнопки Экспорт;
- сохранить в бакет Object Storage;
- получить и обработать через Query HTTP API.
Потоковые запросы к данным из Data Streams
Чтобы выполнить запрос к потоковым данным Audit Trails, которые передаются через Data Streams:
- В разделе Audit trails в интерфейсе Yandex Query выберите нужный тип анализа данных: Потоковый, а в списке привязок к данным выберите нужную.
- Выберите нужный запрос к данным из Object Storage из списка и нажмите кнопку Выполнить.
Результаты потокового запроса можно:
- отправить в Yandex Monitoring в виде метрик;
- отправить в выходной поток Data Streams в виде данных, а далее обработать с помощью триггеров Yandex Cloud Functions.