Связаться с намиПодключиться

Настройка работы с Yandex Query

Статья создана
Обновлена 21 апреля 2025 г.

В Yandex Query интегрирована поддержка Audit Trails. Вы можете анализировать события ресурсов Yandex Cloud, выполняя аналитические и потоковые запросы на языке YQL.

Аналитические запросы можно выполнять для логов, которые хранятся в бакете, а потоковые — для логов в потоке данных Yandex Data Streams.

Чтобы подключить бакет с аудитными логами к Yandex Query и выполнить запросы на языке YQL:

  1. Подготовьте окружение.
  2. Создайте соединение между трейлом и YQ.
  3. Выполните запрос к логам в Object Storage.

Если созданные ресурсы вам больше не нужны, удалите их.

Перед началом работы

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
  2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

В стоимость поддержки инфраструктуры входит плата за использование бакета (см. тарифы Object Storage).

Подготовьте окружение

Создайте бакет для аудитных логов

  1. В консоли управления перейдите в каталог, в котором хотите создать бакет, например example-folder.
  2. Выберите сервис Object Storage.
  3. Нажмите Создать бакет.
  4. На странице создания бакета:
    • укажите имя бакета в соответствии с правилами именования;
    • в полях Доступ на чтение объектов, Доступ к списку объектов и Доступ на чтение настроек выберите Ограниченный;
    • для остальных параметров оставьте значения по умолчанию.
  5. Нажмите Создать бакет.

Создайте сервисные аккаунты

Создайте сервисный аккаунт trail-sa:

  1. В консоли управления перейдите в каталог example-folder.
  2. В списке сервисов выберите Identity and Access Management.
  3. Нажмите кнопку Создать сервисный аккаунт.
  4. Укажите Имяtrail-sa.
  5. Нажмите кнопку Создать.

Аналогично создайте сервисный аккаунт с именем bucket-yq-sa.

Назначьте права сервисным аккаунтам

Назначьте сервисному аккаунту trail-sa роли audit-trails.viewer и storage.uploader:

  1. Роль audit-trails.viewer на организацию:

    yc organization-manager organization add-access-binding \
--role audit-trails.viewer \
--id <идентификатор_организации> \
--service-account-id <идентификатор_сервисного_аккаунта>

    Где --service-account-id — идентификатор сервисного аккаунта trail-sa.

    Результат:

    done (1s)

    Подробнее о команде yc organization-manager organization add-access-binding см. в справочнике CLI.

  2. Роль storage.uploader на каталог example-folder:

    yc resource-manager folder add-access-binding example-folder \
  --role storage.uploader \
  --subject serviceAccount:<идентификатор_сервисного_аккаунта>

    Где --subject — идентификатор сервисного аккаунта trail-sa.

    Результат:

    done (1s)

    Подробнее о команде yc resource-manager folder add-access-binding см. в справочнике CLI.

Назначьте сервисному аккаунту bucket-yq-sa роль storage.viewer на каталог example-folder:

yc resource-manager folder add-access-binding example-folder \
    --role storage.viewer \
    --subject serviceAccount:<идентификатор_сервисного_аккаунта>

Где --subject — идентификатор сервисного аккаунта bucket-yq-sa.

Результат:

done (1s)

Подробнее о команде yc resource-manager folder add-access-binding см. в справочнике CLI.

Создайте трейл

  1. В консоли управления выберите каталог example-folder.

  2. Выберите сервис Audit Trails.

  3. Нажмите кнопку Создать трейл.

  4. В поле Имя укажите logsyq.

  5. В блоке Назначение задайте параметры объекта назначения:

  6. В блоке Сервисный аккаунт выберите trail-sa.

  7. В блоке Сбор событий c уровня конфигурации задайте параметры сбора аудитных логов уровня конфигурации:

    • Сбор событий — выберите Включено.
    • Ресурс — выберите Организация.
    • Организация — не требует заполнения, содержит имя текущей организации.
    • Облако — оставьте значение по умолчанию Все.

  8. В блоке Сбор событий с уровня сервисов в поле Сбор событий выберите Выключено.

  9. Нажмите кнопку Создать.

Создайте соединение между трейлом и YQ

Соединение необходимо создать только при первом подключении трейла к YQ.

  1. В консоли управления выберите каталог example-folder.
  2. Выберите сервис Audit Trails.
  3. Выберите трейл logsyq.
  4. Нажмите Обработать в YQ.
  5. Создайте соединение:
    • выберите Сервисный аккаунт bucket-yq-sa;
    • для остальных параметров оставьте значения по умолчанию.
  6. Нажмите Создать.
  7. В окне с параметрами привязки к данным нажмите Создать.

Вы перейдете на страницу создания запроса к логам трейла.

Выполните запрос к логам в Object Storage

Откройте страницу создания аналитического запроса к логам Audit Trails:

  1. В консоли управления выберите каталог с трейлом.
  2. В списке сервисов выберите Audit Trails.
  3. Выберите трейл, для которого настроено соединение с YQ.
  4. Нажмите Обработать в YQ, чтобы перейти на страницу выполнения аналитического запроса.

Выполните запросы событий для привязки audit-trails-logsyq-object_storage:

  1. Удаление каталога:

    1. Выберите в списке запрос 1. Найти, кто удалил каталог.

    2. Отредактируйте запрос, указав идентификатор каталога:

      SELECT * FROM bindings.`audit-trails-logsyq-object_storage`
WHERE
    JSON_VALUE(data, "$.event_type") = 'yandex.cloud.audit.resourcemanager.DeleteFolder' 
    and JSON_VALUE(data, "$.details.folder_name") = '<идентификатор_каталога>' 
    LIMIT 100;

    3. Нажмите Выполнить.

  2. Включение доступа по серийной консоли:

    1. Выберите в списке запрос 6. Изменение ВМ — добавление доступа к серийной консоли.

    2. Отредактируйте запрос, указав количество отображаемых записей:

      SELECT * FROM bindings.`<audit-trails-logsyq-object_storage>`
WHERE
    JSON_VALUE(data, "$.event_type") = 'yandex.cloud.audit.compute.UpdateInstance' 
    and JSON_VALUE(data, "$.details.metadata_serial_port_enable") = '1' 
    LIMIT <количество_записей>;

    3. Нажмите Выполнить.

  3. Изменение прав доступ к бакету Object Storage:

    1. Выберите в списке запрос 11. Подозрительные действия с хранилищем логов Audit Trails (Object Storage Bucket).

    2. Отредактируйте запрос, указав количество отображаемых записей:

      SELECT * FROM bindings.`audit-trails-logsyq-object_storage`
WHERE
    (JSON_VALUE(data, "$.event_type") = 'yandex.cloud.audit.storage.BucketAclUpdate' 
    or JSON_VALUE(data, "$.event_type") = 'yandex.cloud.audit.storage.BucketPolicyUpdate') 
    LIMIT <количество_записей>;

    3. Нажмите Выполнить.

  4. Назначение права администратора:

    1. Выберите в списке запрос 20. Назначение прав admin (на ресурсы: folder, cloud).

    2. Отредактируйте запрос, указав количество отображаемых записей:

      SELECT * FROM bindings.`audit-trails-logsyq-object_storage`
WHERE
    JSON_VALUE(data, "$.details.access_binding_deltas.access_binding.role_id") = 'admin' 
    LIMIT <количество_записей>;

    3. Нажмите Выполнить.

Как удалить созданные ресурсы

Если для выполнения руководства вы создали отдельный бакет, вы можете удалить его, чтобы перестать платить за использование бакета.

Предыдущая
Примеры запросов для поиска событий
Следующая
Монтирование бакетов к файловой системе хостов Yandex Data Processing