Связаться с экспертомПопробовать бесплатно
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ООО «Яндекс.Облако»

Загрузка аудитных логов в MaxPatrol SIEM с помощью консоли управления или Yandex Cloud CLI

Статья создана
Улучшена
Обновлена 26 марта 2026 г.

MaxPatrol SIEM позволяет читать аудитные логи Yandex Cloud из потока данных Yandex Data Streams. Для полного прохождения руководства у вас должен быть доступ к экземпляру MaxPatrol SIEM.

Чтобы настроить экспорт аудитных логов с помощью консоли управления или Yandex Cloud CLI:

  1. Подготовьте облако к работе.
  2. Подготовьте окружение.
  3. Создайте трейл, который отправляет логи в поток данных Data Streams.
  4. Настройте в MaxPatrol SIEM задачу по сбору данных из потока Data Streams.

Если созданные ресурсы вам больше не нужны, удалите их.

Перед началом работы

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
  2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

В стоимость поддержки создаваемой инфраструктуры входят:

Подготовьте окружение

Создайте сервисные аккаунты

От имени сервисного аккаунта maxpatrol-sa трейл будет собирать логи всех ресурсов организации и выгружать их в поток данных Data Streams. От имени сервисного аккаунта maxpatrol-reader-sa MaxPatrol SIEM будет загружать аудитные логи из потока данных.

Создайте сервисные аккаунты в том же каталоге, в котором будете создавать трейл, например, в каталоге example-folder:

  1. В консоли управления выберите каталог example-folder.
  2. Перейдите в сервис Identity and Access Management.
  3. Нажмите кнопку Создать сервисный аккаунт.
  4. В поле Имя укажите maxpatrol-sa.
  5. В поле Роли в каталоге нажмите кнопку Добавить роль и выберите роль yds.writer на каталог.
  6. Нажмите кнопку Создать.

Аналогичным образом создайте сервисный аккаунт maxpatrol-reader-sa и назначьте ему роль yds.viewer на каталог.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Создайте сервисный аккаунт maxpatrol-sa:

    yc iam service-account create \
  --name maxpatrol-sa

    Результат:

    done (2s)
id: ajecq2artiv5********
folder_id: b1g5bhjofg7o********
created_at: "2026-03-18T18:29:53Z"
name: maxpatrol-sa

  2. Аналогичным образом создайте сервисный аккаунт maxpatrol-reader-sa.

Подробнее о команде yc iam service-account create см. в справочнике CLI.

Назначьте роли сервисным аккаунтам

Назначьте сервисным аккаунтам недостающие роли:

  1. Войдите в сервис Yandex Identity Hub с учетной записью администратора или владельца организации.

  2. На панели слева выберите Права доступа.

  3. В правом верхнем углу страницы нажмите кнопку Назначить роли. В открывшемся окне выберите сервисный аккаунт maxpatrol-sa. При необходимости воспользуйтесь строкой поиска.

  4. Нажмите кнопку Добавить роль и выберите роль audit-trails.viewer.

  5. Нажмите кнопку Сохранить.

  1. Назначьте сервисному аккаунту maxpatrol-sa роль yds.writer на каталог example-folder:

    yc resource-manager folder add-access-binding example-folder \
  --role yds.writer \
  --subject serviceAccount:<идентификатор_сервисного_аккаунта>

    Где:

    • --role — назначаемая роль.
    • --subject — идентификатор сервисного аккаунта maxpatrol-sa.

  2. Аналогичным образом назначьте роль yds.viewer на каталог example-folder сервисному аккаунту maxpatrol-reader-sa.

    Подробнее о команде yc resource-manager folder add-access-binding см. в справочнике CLI.

  3. Назначьте сервисному аккаунту maxpatrol-sa роль audit-trails.viewer на организацию:

    yc organization-manager organization add-access-binding \
  --role audit-trails.viewer \
  --id <идентификатор_организации> \
  --service-account-id <идентификатор_сервисного_аккаунта>

    Где:

    • --role — назначаемая роль.
    • --idидентификатор организации, в которой находится сервисный аккаунт.
    • --service-account-id — идентификатор сервисного аккаунта maxpatrol-sa.

    Подробнее о команде yc organization-manager organization add-access-binding см. в справочнике CLI.

Создайте статический ключ доступа для MaxPatrol SIEM

MaxPatrol SIEM использует статические ключи доступа для авторизации запросов к потоку данных Data Streams.

Создайте статический ключ доступа для сервисного аккаунта maxpatrol-reader-sa:

  1. В консоли управления выберите каталог example-folder.
  2. Перейдите в сервис Identity and Access Management.
  3. На панели слева выберите Сервисные аккаунты и в открывшемся списке выберите сервисный аккаунт maxpatrol-reader-sa.
  4. На панели сверху нажмите Создать новый ключ и выберите Создать статический ключ доступа.
  5. Задайте описание ключа и нажмите Создать.

Внимание

Сохраните идентификатор и секретный ключ. После закрытия диалога значение ключа будет недоступно.

Выполните команду:

yc iam access-key create \
  --service-account-name maxpatrol-reader-sa

Результат:

access_key:
id: aje38c5mjq11********
service_account_id: ajegtlf2q28a********
created_at: "2026-03-18T17:39:41.851532824Z"
key_id: YCAJEnmnfsV8GpAMk********
secret: YCMVxx-n0t8Y6s48zJDdKw9lWMB1iGU-********

Внимание

Сохраните идентификатор key_id и секретный ключ secret. Повторно получить секретный ключ нельзя.

Подробнее о команде yc iam access-key create см. в справочнике CLI.

Создайте бессерверную БД YDB

База данных необходима для потока данных Data Streams.

  1. В консоли управления выберите каталог example-folder.
  2. Нажмите Создать ресурс и выберите База данных YDB.
  3. Укажите Имяmaxpatrol-db.
  4. В блоке Тип базы данных выберите Serverless.
  5. Для остальных параметров оставьте значения по умолчанию.
  6. Нажмите Создать базу данных.

Дождитесь, когда статус базы данных изменится на Running.

  1. Создайте базу данных:

    yc ydb database create \
  --name maxpatrol-db \
  --serverless \
  --folder-name example-folder

    Где:

    • --name — имя базы данных.
    • --serverless — тип базы данных serverless.
    • --folder-name — имя каталога.

    Результат:

    done (36s)
id: etnubo9ude8e********
folder_id: b1g5bhjofg7o********
created_at: "2026-03-18T18:34:31Z"
name: maxpatrol-db
status: PROVISIONING
...

    Подробнее о команде yc ydb database create см. в справочнике CLI.

  2. Проверьте статус созданной БД:

    yc ydb database get maxpatrol-db

    Дождитесь, когда статус базы данных изменится на RUNNING.

Создайте поток данных

В этот поток данных трейл будет загружать логи ресурсов организации.

  1. В консоли управления выберите каталог example-folder.
  2. Нажмите Создать ресурс и выберите Поток данных.
  3. В поле База данных выберите maxpatrol-db.
  4. Укажите Имя maxpatrol-stream.
  5. Для остальных параметров оставьте значения по умолчанию.
  6. Нажмите кнопку Создать.

Дождитесь, когда статус потока данных сменится на Running.

Создайте трейл

Трейл будет собирать аудитные логи уровня конфигурации всех ресурсов вашей организации и загружать их в поток данных maxpatrol-stream.

  1. В консоли управления выберите каталог example-folder.
  2. Нажмите кнопку Создать ресурс и выберите пункт Трейл.
  3. Укажите Имя создаваемого трейла maxpatrol-trail.
  4. В блоке Назначение задайте параметры объекта назначения:
    • НазначениеData Streams.
    • Поток данных — выберите поток данных maxpatrol-stream.
  5. В блоке Сервисный аккаунт выберите сервисный аккаунт maxpatrol-sa.
  6. В блоке Сбор событий c уровня конфигурации задайте параметры сбора аудитных логов уровня конфигурации:
    • Сбор событий — выберите Включено.
    • Ресурс — выберите Организация.
    • Организация — не требует заполнения (содержит имя организации, в которой будет находиться трейл).
    • Облако — оставьте значение по умолчанию Все.
  7. В блоке Сбор событий с уровня сервисов в поле Сбор событий выберите Выключено.
  8. Нажмите Создать.

Создайте трейл maxpatrol-trail:

yc audit-trails trail create \
  --name maxpatrol-trail \
  --service-account-id <идентификатор_сервисного_аккаунта> \
  --destination-yds-stream maxpatrol-stream \
  --destination-yds-database-id <идентификатор_базы_данных_YDS> \
  --filter-all-organisation-id <идентификатор_организации>

Где:

  • --name — имя создаваемого трейла.
  • --service-account-id — идентификатор сервисного аккаунта maxpatrol-sa.
  • --destination-yds-stream — имя потока данных.
  • --destination-yds-database-id — идентификатор базы данных maxpatrol-db.
  • --filter-all-organisation-idидентификатор организации, в которой создается трейл и где будут собираться аудитные события.

Результат:

done (1s)
id: cnpvbmk64136********
folder_id: b1g5bhjofg7o********
created_at: "2026-03-18T10:57:33.322Z"
updated_at: "2026-03-18T10:57:33.322Z"
name: maxpatrol-trail
destination:
  data_stream:
    database_id: etn5bfdglcn8********
    stream_name: maxpatrol-stream
    codec: RAW
service_account_id: aje1jot7q7eh********
status: ACTIVE
cloud_id: b1gj9ja2h4ct********
filtering_policy:
  management_events_filter:
    resource_scopes:
      - id: bpfaidqca8vd********
        type: organization-manager.organization

Подробнее о команде yc audit-trails trail create см. в справочнике CLI.

Подробнее о создании трейла см. в разделе Создание трейла для загрузки аудитных логов.

Настройте MaxPatrol SIEM

Создайте учетные записи

Учетные записи можно использовать как хранилища секретов. Создайте учетные записи static-key-id и static-key-private, чтобы сохранить в них полученные ранее идентификатор и секретный ключ статического ключа доступа, созданного для сервисного аккаунта maxpatrol-reader-sa:

  1. Войдите в веб-интерфейс MaxPatrol SIEM.
  2. В разделе Сбор данных нажмите Учетные записи.
  3. Нажмите Добавить учетную записьПароль и укажите параметры:
    • Названиеstatic-key-id;
    • Пароль — идентификатор статического ключа;
    • Подтверждение пароля — повторите идентификатор статического ключа.
  4. Нажмите Сохранить.

Аналогично создайте учетную запись static-key-private, содержащую секретный ключ.

Создайте задачу на сбор данных

Создайте и запустите задачу на сбор данных с профилем Yandex Data Streams:

  1. Войдите в веб-интерфейс MaxPatrol SIEM.
  2. В разделе Сбор данных нажмите Задачи.
  3. На странице Задачи по сбору данных:
    1. На панели инструментов нажмите Создать задачу.
    2. Нажмите Сбор данных.
  4. На странице Создание задачи на сбор данных укажите параметры:
    1. НазваниеYDS-logs-task.
    2. ПрофильYandex Data Streams.
    3. В иерархическом списке выберите Запуск сценария.
    4. В блоке Подключение укажите:
      • Учетная записьstatic-key-id;
      • Учетная запись для повышения привилегийstatic-key-private.
    5. Параметры запуска сценария:
      • database<идентификатор_БД_maxpatrol-db>;
      • folder<идентификатор_облака_для_каталога_example-folder>;
      • region_nameru-central1;
      • stream_namemaxpatrol-stream.
    6. На панели Цели сбора данных:
      1. Выберите вкладку Включить.
      2. В поле Сетевые адреса укажите yandex-cloud.
    7. Нажмите Сохранить и запустить.

Чтобы просмотреть логи, перейдите на страницу просмотра событий:

  1. Перейдите на страницу Задачи по сбору данных.
  2. Нажмите на задачу YDS-logs-task.
  3. Нажмите Собранные событияПерейти.

Как удалить созданные ресурсы

Удалите ресурсы, которые вы больше не будете использовать, чтобы за них не списывалась плата:

См. также

Предыдущая
Обзор
Следующая
Terraform