Обзор

Audit Logs — сервис, предназначенный для централизованного хранения, отображения и анализа аудитных логов.

Аудитный лог — это запись о действии, связанном с использованием сервисов или ресурсов MWS Cloud Platform. Он содержит сведения о том, кто, когда, в каком сервисе и насколько успешно выполнил то или иное действие.

В аудитных логах фиксируются как успешные, так и неуспешные события. Полный перечень событий, собираемых сервисом Audit Logs, доступен в справочнике.

Коллектор (Collector) — это ресурс, который позволяет настроить основные параметры сбора аудитных логов:

• перечень событий, которые необходимо собирать;
• место хранения аудитных логов.

Количество одновременно созданных коллекторов ограничивается квотами и лимитами.

Хранилище (Storage) — это логически изолированный сегмент хранилища данных, в котором хранятся аудитные логи одного клиента.

Основными параметрами хранилища являются:

• Срок хранения – промежуток времени между временем генерации аудитного лога и временем, когда этот лог более не требуется хранить. По истечении срока хранения аудитный лог удаляется из хранилища безвозвратно.
• (опционально) Размер хранилища. При заполнении хранилища наиболее старые аудитные логи будут удалены, даже если срок их хранения еще не достигнут.

В качестве хранилища может выступать как хранилище Audit Logs, так и внешний ресурс — например, бакет в Object Storage. События, собранные коллектором, записываются в бакет Object Storage раз в пять минут в виде JSON-файла. Запись происходит от имени сервисного аккаунта, указанного при создании коллектора.

Работа с аудитными логами с помощью интерфейсов облака доступна только для логов, хранящихся в хранилище Audit Logs. Чтобы анализировать аудитные логи, хранящиеся на внешних ресурсах, используйте сторонние решения — например, OpenSearch.

Срок хранения аудитных логов и количество одновременно созданных хранилищ ограничиваются квотами и лимитами.

Базовый сценарий работы с сервисом сводится к следующим действиям:

1. Определите, где планируется хранить аудитные логи:

   • В сервисе Audit Logs: для этого создайте хранилище.
   • Вне сервиса Audit Logs: для этого создайте внешние ресурсы, подходящие для экспорта аудитных логов — например, бакет в Object Storage.

2. Определите, какие аудитные логи необходимо собирать. Для этого создайте и настройте коллектор.

3. Организуйте связь между ресурсами. Для этого в настройках коллектора укажите место хранения собираемых логов: хранилище Audit Logs или внешний ресурс.

Рекомендуется создавать хранилище и коллектор непосредственно после создания нового проекта. В результате ваш проект будет иметь журнал аудита, который не требует предварительной конфигурации и собирает аудитные логи с даты создания проекта.

Коллектор может находиться в нескольких состояниях:

• Активен — коллектор активирован, собирает и выгружает события.

• Неактивен — коллектор деактивирован, не собирает и не выгружает события.

• Ошибка конфигурации — выгрузка событий приостановлена, т.к. настройки коллектора некорректны. Если для хранения событий используется бакет Object Storage, причины ошибки конфигурации могут быть следующими:

  • сервисному аккаунту выданы некорректные права на бакет или проект;
  • бакет удален.

  Чтобы коллектор снова стал активным, исправьте блокирующие работу коллектора ошибки.

  В этом состоянии коллектор продолжает сбор событий, но срок сбора ограничен 72 часами. После устранения ошибки все события, собранные коллектором за 72 часа, будут переданы в хранилище. События старше 72 часов при этом будут потеряны.

• Ошибка системы — коллектор не собирает и не выгружает события. Это нештатное поведение коллектора, для исправления ошибки обратитесь в техническую поддержку.

Чтобы начать пользоваться сервисом Audit Logs, его нужно активировать. Для этого достаточно, имея роль admin на уровне проекта, нажать кнопку Активировать на странице сервиса.

• Узнайте, как создать хранилище и коллектор.
• Изучите аудитные логи, которые генерируют сервисы вашего проекта.