一个租户下可以开通多个追踪器吗?
目前,一个租户系统仅支持开通一个追踪器。
事件列表用于记录哪些信息?
事件列表记录了云账户中对云服务资源新建、修改、删除等操作的详细信息。事件列表不记录查询操作的相关信息。
事件列表中的信息可以删除吗?
不可以,根据SAC/TC及国际信息、数据安全管理部门发布的规范,审计日志必须保持客观全面、准确,因此不提供删除或修改功能。
事件文件可以存储多长时间?
默认情况下,云审计服务管理控制台可存储最近7天内的事件文件,而对于已保存至OBS桶的历史操作记录,您可以无限期存储这些事件文件。
如果用户已开通云审计服务,但OBS桶未配置正确的策略,会出现什么情况?
云审计服务会根据既有的OBS存储桶策略来传送事件文件。如果错误地配置OBS存储桶策略,那么云审计服务将无法传送事件文件。
被删除或有异常的OBS桶,管理控制台界面会显示相应的错误提示信息。用户可选择重新创建OBS桶或重新配置OBS桶的访问权限,操作详情请参见《对象存储服务用户指南》的“管理桶”章节。
云审计服务是否支持事件文件的关键字验证?
支持。原则上进行关键字验证时必须包含以下字段:time、service_type、resource_type、trace_name、trace_status、trace_type,其他字段由各服务自己定义。
启用云审计服务是否会影响其他云服务资源的性能?
不会。启用云审计服务不会影响其他云服务资源的性能。
为什么查看事件窗口中,有些事件的IP、code、request、response和message字段为空?
IP、code、request、response和message字段并非云审计服务规定的必备字段:
- IP:当trace type为SystemAction时,表示本次操作由服务内部触发,此时缺失IP字段为正常情况。
- request/response/code:这三个字段是表示本次操作所对应的请求内容、请求结果及HTTP返回码,在有些情况下,这些字段本身为空,或不具备业务意义,产生该事件的云服务会根据实际情况选择某字段留空。
- message:该字段为预留字段,若其他云服务基于业务需要,需要增加额外信息时,可附加在该字段内,缺失为正常情况。
为什么事件列表中有些事件的为超链接可以跳转,有些为非超链接?
目前CTS仅支持部分ECS、EVS、VBS、IMS、AS、CES和VPC的操作通过跳转到对应云资源的详情页面,该功能正在逐步完善。
为什么事件列表中的某些操作被记录了两次?
对于异步调用事件,会产生两条事件记录,其事件名称、资源类型、资源名称等字段相同。在事件列表中,看起来是重复记录了操作(例如,Workspace的deleteDesktop事件),但实际上,这两条事件是相互关联、但内容不同的两条记录,典型的异步调用场景时间如下:
- 第一条事件:记录用户发起的请求;
- 第二条事件:记录用户请求的操作结果,通常与第一条时间记录有数分钟的延迟,记录用户请求的实际响应结果。
两条事件需要结合在一起,才能反映用户本次操作的真实结果。
为什么在事件列表中按照操作用户进行筛选时,存在user_account/op_service用户?
当用户发起的某些请求涉及后台一些高权限要求的操作或涉及调用其他服务时,可能存在用户自身的权限不足的问题,因此在确保符合安全要求的前提下,会临时对该请求中的用户身份进行提权,请求完成后提权结束,但会将提权行为记录到该请求发送到CTS的日志当中,此时的操作用户将记录为user_account/op_service。
为什么有些trace_type为systemAction的事件,存在user、source_ip为空的情况?
trace_type字段的业务意义为标示请求来源,该字段可以是控制台(ConsoleAction)、API网关(ApiCall)及系统内调用(SystemAction)。
系统内调用为非用户触发的操作,例如自动触发的告警、弹性伸缩、定时备份任务以及为完成用户请求产生的系统内部次级调用等,这种情况下,不存在直接触发操作的用户或设备,根据审计的客观性原则,该两个字段。