Аудит-логирование

Архивирование аудит-логов личного кабинета в бакете Object Storage

С помощью этого руководства вы настроите хранение аудит-логов, передаваемых из личного кабинета, в отдельном бакете Object Storage. Это позволит долгосрочно хранить данные о событиях личного кабинета, например записи о создании проекта.

Вы будете использовать следующие сервисы:

Аудит-логирование — сервис, позволяющий собирать логи и просматривать историю событий, а также экспортировать журналы логов во внешнюю клиентскую систему SIEM.
Object Storage — объектное S3-хранилище с бесплатным хранением файлов, объемом до 15 ГБ.

Шаги:

Перед началом работы

Зарегистрируйтесь в личном кабинете Cloud.ru.

Если вы уже зарегистрированы, войдите под своей учетной записью.
Убедитесь, что у вас есть подходящие роли:
- администратор организации — может управлять правилами и бакетами по всем проектам организации;
- администратор проекта — может управлять правилами и бакетами только в рамках доступного проекта.
Проверьте, подключено ли в вашей организации объектное хранилище Object Storage. Для подключения обратитесь к администратору организации.

1. Cоздайте бакет в сервисе Object Storage

Создайте бакет для архивирования аудит-логов. В поле Название укажите «lk-audit-archive».

2. Создайте правило архивирования для событий личного кабинета

В личном кабинете перейдите в раздел Аудит-логирование → Правила архивирования.
Нажмите Создать правило.
Задайте настройки правила:
1. Укажите название правила: «Аудит-логи личного кабинета».
2. (Опционально) Добавьте описание правила.
3. Выберите бакет для архивирования lk-audit-archive, который вы создали на прошлом шаге.
4. (Опционально) Выберите проект, аудит-логи которого должны архивироваться при срабатывании правила. Выбрать несколько проектов может только администратор организации. Если оставить поле пустым, будут архивированы логи по всем проектам организации.
Добавьте условие срабатывания — запрос, по которому будут отбираться логи, отправляемые в выбранный бакет. Для фильтрации событий, которые относятся к личному кабинету, укажите запрос:
```
event_source = Личный кабинет
```
В этом случае будут отбираться все аудит-логи, которые передает личный кабинет.

Если вы хотите сделать выборку более точной и добавить дополнительный фильтр, например по типу события или уровню аудит-лога, нажмите Добавить запрос. Правило архивирования сработает на те аудит-логи, которые подходят сразу под все указанные запросы.

Примеры фильтрующих запросов:
- по типу события, например создание проекта:
```
event_type = CreateProject
```
- по уровню аудит-лога, например событие уровня ERROR, которое завершилось с ошибкой:
```
event_level = ERROR
```
Нажмите Сохранить.

3. Проверьте архивированные логи в бакете

Аудит-логи начнут отправляться в хранилище на следующий день после создания правила архивирования.

Чтобы посмотреть архивированные логи:

В личном кабинете на верхней панели слева нажмите и выберите Хранение данных → Object Storage.
В списке бакетов выберите lk-audit-archive.
Перейдите на вкладку Файловый менеджер.

В списке объектов будут аудит-логи, архивированные по созданному правилу.

Результат

Вы настроили хранение в отдельном бакете Object Storage событий по личному кабинету.

Предыдущая статья

Экспорт аудит-логов в SIEM с использованием защищенного протокола TLS

Следующая статья

Моментальное групповое email-уведомление о событии аудита

Была ли эта статья полезна?

Поддержка Юридические документы

Evolution

Advanced

Облако VMware