2.6.1 OneAccess 审计
OneAccess提供的审计功能,可以查看用户、管理员操作日志。可用于支撑安全分 析、合规审计、资源跟踪和问题定位等常见应用场景。
本章为您介绍如何查看、搜索、导出用户操作和管理员操作。
查看用户操作
管理员可以查看用户的审计日志。
步骤1 登录OneAccess管理门户。
步骤2 在导航栏中,单击“审计 > 用户操作”。
图2-137 用户操作
步骤3 在用户操作页面,单击用户操作列表详情列的“查看”,可以查看用户操作详情。
图2-138 查看
----结束 说明
● 您可以在用户操作页面设置时间、用户姓名、手机号码、操作类型、客体类型、位置等过滤 条件。
● OneAccess还提供审计日志导出功能,单击用户操作页面的“导出”即可导出所有用户操作 日志。
步骤1 登录OneAccess管理门户。
步骤2 在导航栏中,单击“审计 > 管理员操作”,可以查看管理员操作日志。
图2-139 管理员操作
----结束 说明
● 您可以在管理员操作页面设置时间、管理员用户名或姓名、位置、操作对象等过滤条件。
● OneAccess还提供审计日志导出功能,击管理员操作页面的“导出”即可导出所有管理员操 作。
● 如果您需要查看超过2年的日志,在管理员操作页面,单击右上方的“日志归档”,进入管 理员日志归档页面,单击目标日志操作列的下载即可。解压并打开以后,会详细展示管理员 的操作时间、操作对象、操作类型、位置等信息。
2.6.2 华为云审计
云审计服务(Cloud Trace Service,以下简称CTS),是华为云安全解决方案中专业的 日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安 全分析、合规审计、资源跟踪和问题定位等常见应用场景。
为了方便查看华为云OneAccess控制台的关键操作事件,例如产品订购、更新证书 等,建议管理员开启云审计服务。
开通云审计服务
步骤1 登录管理控制台。
步骤2 如果您是以主账号登录华为云,请直接进行3;如果您是以IAM用户登录华为云,需要 联系管理员对IAM用户授予以下权限:
● Security Administrator
● CTS FullAccess
授权方法请参见给IAM用户授权。
步骤3 选择“服务列表 > 管理与监管 > 云审计服务”,进入云审计服务授权页面,如下图所 示。
步骤4 单击“同意授权并开通”,进入云审计服务页面。
说明
● 后续使用云审计服务,仅需拥有云审计服务相关权限即可,无需拥有Security Administrator 权限。
● 同意授权并开通CTS服务后,系统会自动为您创建以下管理追踪器,用于记录管理事件,即 针对所有云资源的操作日志,例如创建、登录、删除等:
– 自动在当前region创建1个管理追踪器,用于记录项目级服务的管理事件。
– 自动在华北-北京四区域创建1个管理追踪器,用于记录全局服务(如IAM服务)的管理 事件。
----结束
在OneAccess控制台进行操作,例如产品订购、更新证书等,CTS将会记录这些操作。
CTS支持记录的OneAccess相关的操作事件,如表1所示。
表2-19 CTS 支持的 OneAccess 操作列表
操作名称 资源类型 事件名称
产品订购 instance orderInstance 更新证书 certificate updateCertificate
操作名称 资源类型 事件名称
创建自定义域名 domainName createDomainName 删除自定义域名 domainName deleteDomainName
查看 OneAccess 的审计日志
开通云审计服务后,云审计服务开始记录操作事件,包括OneAccess以及其他服务的 操作事件,云审计服务保存最近7天的操作记录。
步骤1 管理员在OneAccess控制台进行操作。
步骤2 进入云审计服务控制台,查看OneAccess的操作记录。
说明
OneAccess为全局级服务,CTS默认记录“华北-北京四”区域的OneAccess操作记录,进入 OneAccess控制台后,如果默认区域不是“华北-北京四”,请先切换区域,否则无法查看 OneAccess的操作记录。
步骤3 单击 ,可以查看事件的基本信息。
步骤4 单击“查看事件”,可以查看事件的结构,事件结构的详细信息,请参见:云审计 用 户指南。
----结束