Связаться с намиПодключиться

Инструменты для работы с аудитными логами

Статья создана
Обновлена 28 февраля 2025 г.

Аудитные логи могут загружаться в бакет Yandex Object Storage, лог-группу Yandex Cloud Logging, поток данных Yandex Data Streams.

В зависимости от того, где находятся логи, для их просмотра и поиска событий применяются различные инструменты:

Yandex Query

Сервис Query применяется для работы с логами, которые загружаются в бакет или поток данных:

  • Если логи находятся в бакете, то можно анализировать события ресурсов Yandex Cloud, выполняя аналитические запросы на языке YQL.
  • Если логи находятся в потоке данных, то можно анализировать события ресурсов Yandex Cloud, выполняя потоковые запросы на языке YQL.

Чтобы использовать Yandex Query, настройте привязку к данным в зависимости от объекта назначения:

  1. Создайте сервисный аккаунт с именем bucket-yq-sa.

  2. Назначьте сервисному аккаунту bucket-yq-sa роль storage.viewer на каталог, в котором находится бакет с логами.

  3. Создайте соединение:

    1. В консоли управления выберите каталог, в котором находится трейл, поставляющий логи в бакет.
    2. Выберите сервис Audit Trails.
    3. Выберите трейл, поставляющий логи в бакет.
    4. Нажмите Обработать в YQ.
    5. Выберите Сервисный аккаунт bucket-yq-sa.
    6. Для остальных параметров оставьте значения по умолчанию.
    7. Нажмите Создать.

  4. В окне с параметрами привязки к данным нажмите Создать.

  5. Выполните нужный запрос.

  1. Создайте сервисный аккаунт с именем bucket-yq-sa.
  2. Назначьте сервисному аккаунту bucket-yq-sa роль yds.editor.
  3. Создайте соединение. При создании укажите настройки для типа соединения Data Streams.
  4. Создайте привязку.
  5. Выполните нужный запрос.

Cloud Logging

Сервис Cloud Logging применяется для работы с логами, которые загружаются в лог-группу.

Можно анализировать события ресурсов Yandex Cloud, фильтруя логи с помощью языка фильтрующих выражений.

Чтобы использовать Cloud Logging:

  1. Прочитайте логи в лог-группе.
  2. Отфильтруйте логи нужным образом.

Утилита jq

Утилита jq применяется для работы с логами, которые загружаются в бакет.

Логи хранятся в бакете в виде JSON-файлов. Поэтому можно анализировать события ресурсов Yandex Cloud, извлекая нужные события из файлов с помощью фильтров jq.

Чтобы использовать jq:

  1. Установите и настройте программу s3fs или goofys, позволяющую монтировать бакеты Object Storage через FUSE.

  2. Смонтируйте бакет с аудитными логами к вашей файловой системе через s3fs или goofys.

  3. Установите утилиту jq.

  4. Выполните команду с нужным фильтром jq.

Примечание

В примерах команд для работы с логами утилита jq используется в связке с утилитой find. Утилита find нужна, чтобы передать на обработку все файлы с логами, которые содержатся в бакете.

Предыдущая
Обзор
Следующая
Примеры запросов для поиска событий