摘要:阿里云操作審計(jì)日志實(shí)時分析概述目前�����,阿里云操作審計(jì)的已經(jīng)與日志服務(wù)打通�����,提供實(shí)時分析與報(bào)表中心的功能�����。屬性專屬的日志庫名字是阿里云跟蹤名稱�,存放于用戶所選擇日志服務(wù)的項(xiàng)目中。
摘要: 阿里云操作審計(jì)ActionTrail審計(jì)日志已經(jīng)與日志服務(wù)打通�����,提供準(zhǔn)實(shí)時的審計(jì)分析����、開箱機(jī)用的報(bào)表功能。本文介紹背景���、配置和功能概覽���。
背景
安全形式與日志審計(jì)
伴隨著越來越多的企業(yè)采用信息化、云計(jì)算技術(shù)來提高效率與服務(wù)質(zhì)量��。針對企業(yè)組織的網(wǎng)絡(luò)�、設(shè)備、數(shù)據(jù)的攻擊從來沒有停止過升級�,這些針對性攻擊一般以牟利而并是不破壞為目的,且越來越善于隱藏自己��,因此發(fā)現(xiàn)并識別針這些攻擊也變得越來越有挑戰(zhàn)�����。
根據(jù)FileEye M-Trends 2018報(bào)告, 2017年的企業(yè)組織的攻擊從發(fā)生到被發(fā)現(xiàn),一般經(jīng)過了多達(dá)101天����,其中亞太地區(qū)問題更為嚴(yán)重,一般網(wǎng)絡(luò)攻擊被發(fā)現(xiàn)是在近498(超過16個月)之后�����。另一方面�,根據(jù)報(bào)告,企業(yè)組織需要花費(fèi)多達(dá)57.5天才能去驗(yàn)證這些攻擊行為��。
作為審計(jì)與安全回溯的基礎(chǔ)�����,企業(yè)IT與數(shù)據(jù)資源的操作的日志一直以來是重中之重��。隨著網(wǎng)絡(luò)信息化的成熟發(fā)展����,并伴隨[國家網(wǎng)絡(luò)安全法規(guī)](http://www.itsec.gov.cn/fgbz/...
)的深入落實(shí)要求�����,企業(yè)組織也越來越重視操作日志的保存與分析,其中云計(jì)算中的資源的操作記錄是一類非常重要的日志����。
阿里云操作審計(jì)
阿里云操作審計(jì)(ActionTrail)會記錄您的云賬戶資源操作,提供操作記錄查詢���,并可以將記錄文件保存到您指定的OSS或日志服務(wù)中���。利用 ActionTrail保存的所有操作記錄,您可以實(shí)現(xiàn)安全分析�����、資源變更追蹤以及合規(guī)性審計(jì)��。
ActionTrail收集云服務(wù)的API調(diào)用記錄(包括用戶通過控制臺觸發(fā)的API調(diào)用記錄)�����,規(guī)格化處理后將操作記錄以JSON形式保存并支持投遞����。一般情況下,當(dāng)用戶通過控制臺或SDK發(fā)起操作調(diào)用之后����,ActionTrail會在十分鐘內(nèi)收集到操作行為���。
阿里云日志服務(wù)
阿里云的日志服務(wù)(log service)是針對日志類數(shù)據(jù)的一站式服務(wù),無需開發(fā)就能快捷完成海量日志數(shù)據(jù)的采集��、消費(fèi)�����、投遞以及查詢分析等功能�,提升運(yùn)維、運(yùn)營效率��。日志服務(wù)主要包括 實(shí)時采集與消費(fèi)�、數(shù)據(jù)投遞、查詢與實(shí)時分析 等功能��。
阿里云操作審計(jì)日志實(shí)時分析概述
目前��,阿里云操作審計(jì)的已經(jīng)與日志服務(wù)打通�����,提供實(shí)時分析與報(bào)表中心的功能����。一般操作審計(jì)收集到(10分鐘以內(nèi))操作日志,就會實(shí)時投遞到日志服務(wù)中�。
發(fā)布時間
2018年7月份
發(fā)布地域
國內(nèi)
國際
政務(wù)云
適用客戶
對日志存儲有合規(guī)需求的大型企業(yè)與機(jī)構(gòu),如金融公司����、政府類機(jī)構(gòu)等。
需要實(shí)時了解云資產(chǎn)操作的整體狀況���,并對關(guān)鍵業(yè)務(wù)的操作進(jìn)行深入分析與審計(jì)的企業(yè)��,如金融類��、電商類和游戲類企業(yè)等�����。
發(fā)布功能:
輕松配置���,即可實(shí)時操作審計(jì)日志投遞。
依托日志服務(wù)�����,提供實(shí)時日志分析,并提供開箱即用的報(bào)表中心(支持定制)���,對重要云資產(chǎn)的操作如指掌����,并可實(shí)時挖掘細(xì)節(jié)�。
提供每月500MB免費(fèi)導(dǎo)入與存儲額度,并可自由擴(kuò)展存儲時間�,以便合規(guī)、溯源���、備案等���。支持不限時間的存儲,存儲成本低至0.35元/GB/月�。
支持基于特定支持、特定操作�����,定制準(zhǔn)實(shí)時監(jiān)測與報(bào)警��,確保關(guān)鍵業(yè)務(wù)異常及時響應(yīng)��。
可對接其他生態(tài)如流計(jì)算����、云存儲、可視化方案����,進(jìn)一步挖掘數(shù)據(jù)價值。
前提條件
開通日志服務(wù)���。
開通操作審計(jì)服務(wù)
如何配置
進(jìn)入ActionTrail控制臺�,選擇任意區(qū)域�,創(chuàng)建一個跟蹤,在頁面引導(dǎo)下開通日志服務(wù)以及授權(quán)后��,輸入想要導(dǎo)入的日志服務(wù)的項(xiàng)目(以及其所在區(qū)域)�����,就可以在日志服務(wù)中查看到相關(guān)的日志了�����。
專屬日志庫
當(dāng)您在操作審計(jì)控制臺配置跟蹤日志到日志服務(wù)中后, ActionTrail會實(shí)時將操作審計(jì)日志導(dǎo)入到您擁有的日志服務(wù)的專屬日志庫中�����。默認(rèn)當(dāng)前賬戶所有區(qū)域的云資源的操作日志都會被導(dǎo)入這一個專屬日志庫中。
屬性
專屬的日志庫名字是${阿里云id}_actiontrail_${跟蹤名稱}����,存放于用戶所選擇日志服務(wù)的項(xiàng)目中。
默認(rèn)的日志庫的分區(qū)數(shù)量是2個, 并且打開了自動Split功能�,默認(rèn)的存儲周期是90天(超過90天的日志會自動被刪除,可以修改為更長時間)��。
限制
專屬的日志庫用于存入專有的審計(jì)日志, 因此不允許用戶通過API/SDK寫入其他數(shù)據(jù). 其他的查詢�、統(tǒng)計(jì)、報(bào)警�、流式消費(fèi)等功能與一般日志庫無差別.
專屬報(bào)表
另一方面,ActionTrail也會自動給用戶配置的日志服務(wù)項(xiàng)目中創(chuàng)建對應(yīng)日志報(bào)表��。日志報(bào)表的名字是:
${阿里云id}_actiontrail_${跟蹤名稱}_audit_center
功能概覽
配置后即可使用跳轉(zhuǎn)的鏈接對審計(jì)日志進(jìn)行實(shí)時分析功能����,并使用自帶的報(bào)表.
場景一: 實(shí)時云資源操作異常排查與問題分析,意外刪除����,高危操作等
例如:查看ECS刪除操作日志等。
更多:
場景二: 重要資源操作的分布與來源追蹤,溯源并輔助應(yīng)對策略等
例如:查看刪除RDS機(jī)器的操作者的國家分布等����。
更多:
場景三: 整體資源操作分布��,運(yùn)維可靠性指標(biāo)一目了然
例如:查看失敗的操作的趨勢等
更多:
場景四: 運(yùn)營分析���,資源使用狀況����,用戶登錄等
例如:查看來自各個網(wǎng)絡(luò)運(yùn)營商的操作者的頻率分布等����。
更多:
進(jìn)一步參考
我們會介紹更多關(guān)于如何配置并使用ActionTrail審計(jì)日志對云資產(chǎn)登錄、操作和安全狀況進(jìn)行詳細(xì)分析的內(nèi)容�,敬請期待。
原文鏈接
文章版權(quán)歸作者所有�,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請注明本文地址:http://www.ezyhdfw.cn/yun/11407.html
