此贴勿水，谢谢~ 云审计服务，不只是记录和展示审计日志…… 我们能做到的，还有更多：合规认证、操作通知、问题辅助定位、数据对接、数据分析……： 您有任何用的不爽的地方、任何觉得不满意的地方、任何觉得可以改进的地方：请让我们知道，就像： [*]我希望能提供xxxxxx的功能！ [*]我希望界面能分析并展示xxxxxxxx的信息！ [*] 当前xx功能太烂，要能够xxxxxxxxxx！ [*] …… 云审计服务产品经理每周三、周五定期在这里回帖 期待您的加入！ 期待与您共赢！！

本帖最后由 云审计团队 于 2018-5-7 16:45 编辑云审计服务5月底重大特性更新： 1、【关键操作通知焕新上线】： [*]简介： 在发生某些特定操作时，通过用户指定的SMN主题，实时向用户发送通知，通知的方式可以选择邮件、短信、Http及其他SMN支持的通知方式，详情请点击； [*]应用场景： 高危操作（重启虚拟机、变更安全配置等）、成本敏感操作（创建、删除高价资源等）、业务敏感操作（网络配置变更等）的实时感知和确认； 越权操作感知：如高权限用户的登录、某用户进行了其权限范围之外的操作的实时感知和确认； 对接用户自有审计日志分析系统：将所有审计日志，实时对接到用户自有的审计日志分析系统（了解审计日志的结构，请点击这里），进行接口调用成功率分析、越权分析、安全分析、成本分析等 …… [*]特性新功能： 触发通知的操作范围支持自定义，范围包括90个服务、272种资源类型、1632种操作； 触发通知的操作范围，支持指定用户（非租户，一个租户可以拥有多个用户）身份校验，达成类似“只有用户C和D重启虚拟机时通知我”的功能； 关键操作通知通过主题管理，每个主题都可以单独设置触发操作范围、用户校验规则和通知主题 2、【新服务对接】： [*]DDoS高防服务（AAD）： DDoS高防服务是针对游戏、金融、网站等用户在遭受大流量DDoS攻击后导致服务不可用的情况下，推出的付费增值服务，用户可以通过配置高防IP，将攻击流量引流到高防IP，确保源站稳定可靠。 [*]推荐引擎服务（RES）： 提供低门槛、标准化的个性化推荐业务搭建，内置电商、新闻等行业模板，轻松实现高质量的推荐服务。 [*]容器镜像服务（SWR）： 容器镜像服务是一种支持容器镜像全生命周期管理的服务， 提供简单易用、安全可靠的镜像管理功能，帮助用户快速部署容器化服务。 [*]华为云区块链服务（BCS）： 华为云区块链服务是面向企业及开发者的高性能、高可用、高安全区块链技术平台服务，可以帮助客户在华为云上快速、低成本的创建、部署和管理区块链应用及商业智能合约服务。 [*]华为云应用运维管理（AOM）： 华为云应用运维管理为运维人员提供一站式立体运维平台，实时监控应用、资源运行状态，通过数十种指标、告警与日志关联分析，快速锁定问题根源，保障业务顺畅运行。 [*]人脸识别（FRS）： 人脸识别，能快速检测定位图像中的人脸，通过分析多达74个人脸关键点信息，识别多种人脸属性；可应用于身份验证、安防监控、电子商务、人脸搜索、智能相册等多种场景。 [*]对话机器人服务（CBS）： 智能质检模块采用自然语言处理技术，为租户提供高效、可靠的智能对话分析服务。 [*]推荐引擎服务（EPS）： 提供低门槛、标准化的个性化推荐业务搭建，内置电商、新闻等行业模板，轻松实现高质量的推荐服务。 [*]推荐引擎服务（DAS）： 提供低门槛、标准化的个性化推荐业务搭建，内置电商、新闻等行业模板，轻松实现高质量的推荐服务。 [*]应用编排服务（AOS）： 应用编排服务可以帮助用户将应用一键式部署到华为云上，简化相关云服务管理操作。AOS通过模板来描述和编排应用及相关云服务，实现自动化部署应用、创建云服务，提供E2E应用全生命周期运维管控能力。 了解还有哪些服务已经对接了云审计，请点击这里 云审计服务团队非常重视您的反馈，若您有问题、疑问、建议或对审计日志系统的等保合规有诉求，请点击这里

管理类事件：即云审计服务追踪并保存的云服务资源的操作记录。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。事件分为以下两类：追踪事件，指近7天的操作记录。已归档事件，指已保存至OBS桶的历史操作记录。

•实时记录：云审计服务可迅速收集操作事件，用户可在云服务资源变更完成后在管理控制台查阅 •完整记录：云审计服务可记录管理控制台、开放API执行的操作及公有云系统内部触发的操作，同时记录每次操作结果的详细状态 •可靠低成本：支持将操作记录合并，周期性的生成事件文件，实时同步转存至OBS存储桶，操作记录高可用、低成本的长久保存

1.根据客户业务类型，需要进行业云务认证。如：金融云，可信云等 2.根据信息管理规范要求，重要数据，系统访问都要被实时记录 3.国家信息政策，IDC标准规范等，如《网络安全法》 4.信息安全包含计算、存储、网络、数据、IT环境管控等软硬件环境 5.客户需要知道哪些数据正在被什么样的人员，什么系统访问。6.网络与通信，设备与计算，应用与数据，安全管理策略等

本帖最后由 嘟嘟哒 于 2017-12-29 15:46 编辑1.云审计服务（Cloud Trace Service，CTS），为您提供云服务资源的操作记录，供您查询、审计和回溯使用。 2.您可以在云审计服务管理控制台查询近7天内的操作记录。如果需要将操作记录长期保持，您可以通过配置对象存储服务（ObjectStorage Service，以下简称OBS），将操作记录实时同步保存至OBS, 以便保存更长时间的操作记录。 3.云审计服务记录的操作有以下三种： 用户登录管理控制台的操作。 用户通过云服务支持的API执行的操作。 系统内各服务内部触发的操作。

RT, 我想把我线下的一些日志通过API上传到云上，和我云上的日志一起分析下。

本帖最后由 云审计团队 于 2017-12-22 12:02 编辑此贴勿水，谢谢~ 长期以来，云审计服务一直比较尴尬 似乎只是一个提供审计日志记录及展示的服务 但现在，我们决定改变 未来，云审计服务将携手云日志服务 围绕“合规审计”、“简单运维”为中心： 帮您及时发现异常的资源使用、资源变更情况； 帮您用更短的时间发现资源问题的跟因、更快的解决云上资源故障； …… 我们不吹，我们也不配图，我们只需要您的反馈，像这样： 我希望能提供xxxxxx的功能！ 我希望界面能分析并展示xxxxxxxx的信息！ 当前xx功能太烂，要能够xxxxxxxxxx！ …… 云审计服务产品经理每周三、周五定期在这里回帖 期待您的加入！ 期待与您共赢！！

本帖最后由 标飞的信仰 于 2017-12-11 17:25 编辑 在开始前，请确保:Ø 网络环境已连通，可正常调用华为云OPEN-APIØ 已获取测试用账户的账号、密码、测试region及其project id（在统一身份认证服务（IAM）-项目-查看详情中获取）Ø 已获取CTS、IAM Open API的endpoint 0. 从IAM获取用户token：a) 在postman中创建如下请求，按照下图所示选择、填写内容，白条区域需要根据实际情况进行替换: 6456a) 点击Send按钮.b) 如果得到类似响应，请点击红框位置，在打开的浏览器中，选择允许访问或添加例外：6457d) 如下图，获取到token：6458 1. 创建追踪器a) 在postman中创建如下请求，按照下图所示选择、填写内容，白条区域需要根据实际情况进行替换: 区域1，选择POST 区域2，格式为:https://{cts-api-open:60000} /v1.0/{project_id}/tracker。(*花括号内的参数，需要根据实际情况替换) 区域4，X-Auth-Token使用第0步获取到的用户token。选择body页签，更新内容 : Ø bucket_name:当前用户的对象存储桶桶名.Ø file_prefix_name:用户希望设置的文件名前缀（不支持特殊字符，长度0~63位）6470b) 点击Send按钮c) 获取响应结果如下，操作成功:6460 2. 修改追踪器 a) 在postman中创建如下请求，按照下图所示选择、填写内容，白条区域需要根据实际情况进行替换: 区域1，选择PUT. 区域2，格式为：https://{cts-api-open:60000}/v1.0/{project_id}/tracker/system. （* 当前CTS追踪的名称固定为“system”，为方便，本文中涉及追踪器名称的地方一律直接替换为system） 区域4，X-Auth-Token使用第0步获取到的用户token.选择Body页签，更新需要修改的参数 : Ø bucket_name:修改后的对象存储桶桶名Ø file_prefix_name:修改后的文件前缀Ø status:只能选择enabled或disabled，用来修改追踪器的启停状态Ø 支持同时修改多个参数6461b) 点击Send按钮.c) 得到如下响应，操作成功：6462 3. 获取追踪器状态a) 在postman中创建如下请求，按照下图所示选择、填写内容，白条区域需要根据实际情况进行替换: 区域1，选择GET. 区域2，格式为:https://{cts-api-open:60000}/v1.0/{project_id}/tracker. 区域4，X-Auth-Token使用第0步获取到的用户token6463b) 点击Send按钮c) 得到如下响应，操作成功:6464 4. 删除追踪器a) 在postman中创建如下请求，按照下图所示选择、填写内容，白条区域需要根据实际情况进行替换:6465 区域1，选择DELETE. 区域2，格式为:https://{cts-api-open:60000}/v1.0/{project_id}/tracker?tracker_name=system. 区域4，X-Auth-Token使用第0步获取到的用户tokenb) 点击Send按钮c) 得到如下响应，操作成功6466 5. 查询事件a) 在postman中创建如下请求，按照下图所示选择、填写内容，白条区域需要根据实际情况进行替换:6467 区域1，选择GET. 区域2，格式为:https://{cts-api-open:60000}/v2.0/{project_id}/{tracker_name}/trace/{?trace_id,service_type,resource_type,resource_id,resource_name,trace_name,trace_status,user,limit,from,to,next}Ø 例如: https{cts-api-open:60000}/v2.0/{project_id}/system/trace?limit=10&to=1512628016000&from=1512577616000&trace_name=updateTracker&trace_status=normal&service_type=CTS&user=jiahonglin3&resource_type=tracker.Ø 参数说明:6469 Ø 补充说明：· 除trace_id外，不同的查询条件可以组合，中间用“&”连接；· 参数的顺序对查询结果无影响； 区域4，X-Auth-Token使用第0步获取到的用户tokenb) 点击Send按钮 c) 得到如下响应，操作成功6468 更多详情，请参考： 云审计服务接口指南

本帖最后由 虾米 于 2017-12-8 17:40 编辑这篇文章介绍下事件文件完整性校验功能的实现机制。 大家如果想了解事件文件完整性校验功能可以查看我前面写的云审计服务—事件文件完整性校验功能介绍，这里不再重复。 提到事件文件完整性校验功能，大家要了解两个概念：摘要文件：它是事件文件完整性校验功能的关键所在。数字签名字符串：RSA算法对摘要文件进行数字签名的一个参数，由摘要文件相关的信息构成，若摘要文件内容发生变化，则该数字签名字符串也会随之变化。 摘要文件介绍：摘要文件中记录了这一小时包含的事件文件哈希值列表及对应的哈希算法，该摘要文件存储的OBS桶、存储路径、签名算法、前一摘要文件的存储OBS桶、存储路径、签名算法、数字签名及文件哈希值，摘要文件结构如下：{ "project_id":"3cfb09080bd944d0b4cdd72ef2685712", //摘要文件记录的事件的用户ID。 "digest_start_time":"2017-03-28T01-09-17Z", //摘要文件记录的事件文件的起始UTC时间 "digest_end_time":"2017-03-28T02-09-17Z", //摘要文件记录的事件文件的结束UTC时间 "digest_bucket":"bucket",//摘要文件提交到的OBS桶的名称。 "digest_object":"CloudTraces/cn-north-01/2017/3/28/Digest/EVS/mylog_CloudTrace-Digest_cn-north-01_2017-03-28T02-09-17Z.json.gz",//摘要文件存储在OBS桶中的位置。 "digest_signature_algorithm":"SHA256withRSA", //用于对摘要文件进行签名的算法。 "digest_end": false, //该摘要文件是否为摘要结束文件,当用户关闭事件文件完整性校验功能时，该值为true。 "previous_digest_bucket":"bucket", //前一摘要文件提交到的OBS桶的名称。 "previous_digest_object":"CloudTraces/cn-north-01/2017/3/28/Digest/EVS/mylog_CloudTrace-Digest_cn-north-01_2017-03-28T01-09-17Z.json.gz",//前一摘要文件存储在OBS桶中的位置。 "previous_digest_hash_value":"5e08875de01b894eda5d1399d7b049fe", //前一摘要文件的十六进制编码哈希值。 "previous_digest_hash_algorithm":"MD5",//用于对前一摘要文件进行哈希处理的哈希算法。 "previous_digest_signature":"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",//前一摘要文件的数字签名。 "previous_digest_end": false, 前一摘要文件是否为摘要结束文件,当用户之前曾关闭事件文件完整性校验功能又开启该功能时，该值为true。 "log_files"://摘要文件记录的事件文件列表。 [{ "bucket": "bucket",//事件文件提交到的OBS桶的名称。 "object":"CloudTraces/cn-north-01/2017/3/28/ECS/mylog_CloudTrace_cn-north-01_2017-03-28T02-09-17Z_0faa86bc40071242.json.gz",//事件文件存储在OBS桶中的位置。 "log_hash_value":"633a8256ae7996e21430c3a0e9897828", //事件文件的十六进制编码哈希值。 "log_hash_algorithm":"MD5" //用于对事件文件进行哈希处理的哈希算法。 }] } 数字签名字符串构成：UTC扩展格式的摘要文件结束时间戳（2017-03-28T02-09-17Z）。当前摘要文件的OBS存储路径。当前摘要文件（压缩后的）的哈希值（十六进制编码）。前一摘要文件的十六进制数字签名。 事件文件完整性校验功能实现机制：事件文件完整性校验分为两种文件校验，其中有一种校验失败，则整个事件文件校验失败。 摘要文件校验：1.按照摘要文件中记录的摘要文件存储路径确认文件是否存在，如不存在，则说明摘要文件被删除，摘要文件校验不通过（校验前一摘要文件场景）。2.使用RSA公钥及数字签名字符串对摘要文件的数字签名进行校验， 若摘要文件发生变化，则该数字签名字符串也会随之变化，那么按照RSA算法校验摘要文件对象的数字签名将会失败，摘要文件校验不通过，事件文件完整性校验结束。 若摘要文件未发生变化，数字签名字符串也不会变化，按照RSA算法校验摘要文件对象的数字签名将会匹配，摘要文件校验通过，可进行事件文件校验。 事件文件校验：1. 按照摘要文件中记录的事件文件的存储路径，获取事件文件对象头ETag元数据的值，若获取不到该值，说明事件文件被删除，事件文件校验不通过。2. 文件对象头的ETag元数据的值是事件文件的哈希值，校验该值与摘要文件中记录的事件文件哈希值是否匹配： 全部匹配，则事件文件校验通过。 若事件文件曾被修改过，则哈希值会匹配失败，事件文件校验不通过。 上面两种校验便是事件文件完整性校验功能的核心实现，校验完一个摘要文件后，便可校验前一个摘要文件（如果存在），直到达到指定时间范围的起始时间点，由于摘要文件包含前一摘要文件信息，这样可实现一个“链”，在指定时间范围内的摘要文件可以从最近的时间点开始往前连续校验。

本帖最后由 虾米 于 2017-12-8 17:42 编辑云审计服务刚刚上了一个新功能—事件文件完整性校验功能，这个你还不知道吧，这里小编我呢就和大家聊聊这个高大上的新功能。 为什么说它高大上呢，听我和你慢慢细说： 首先说下这个功能产生的背景：在安全和事故调查中，通常由于事件文件被删除或者被私下篡改，而导致操作记录的真实性受到影响，无法对调查提供有效真实的依据。因此云审计服务适时推出了事件文件完整性校验功能，旨在帮助您确保事件文件的真实性。 那么这个功能的实现原理是什么呢？事件文件完整性校验功能使用业界标准算法构建，对事件文件生成原始哈希值，当事件文件被修改或者删除时，该哈希值就会发生改变，通过对哈希值进行追踪查看就能确定事件文件是否被修改；同时采用RSA算法对摘要文件进行签名，保证摘要文件不被修改。这样任何对事件文件进行修改或者删除的蛛丝马迹都会被云审计服务完整记录下来。 启用事件文件完整性校验功能后，云审计服务会在每个小时将上一个小时内所有事件文件的哈希值生成一个摘要文件，并将该摘要文件同步存储至当前追踪器配置的OBS桶中。云审计使用公有和私有密钥对每个摘要文件进行签名，摘要文件转储到OBS桶后，您可以使用公有密钥校验摘要文件。 摘要文件包含前一摘要文件（如果存在）的数字签名及哈希值，这样可实现一个“链”，在指定时间范围内的摘要文件可以从最近开始往前连续校验。 看了这么多字是不是有点晕，看下下面的结构图就会清晰很多了： 6332 6334 是不是对这个功能的实现机制及如何使用很感兴趣呢，那么请关注我后面的文章吧~ 云审计服务—事件文件完整性校验功能实现机制

本帖最后由 yd_81326418 于 2017-11-28 14:48 编辑云审计服务都应用在哪些场景？哪些单位或者个人会需要用到？

5327 如图，这完全看不懂啊，login也就罢了 那个subscribe是什么鬼？ 5329

5270

本帖最后由 云审计团队 于 2017-11-19 21:34 编辑云审计EP模块的演进---基础功能 上接《云审计服务“黑科技”讲解之架构初探篇》，本文继续解构EP模块(event process)。EP模块随着服务的特性一直在演进中，本文首先分析基础功能：将一段时间内的操作记录整理成一个对象实时同步保存至OBS 用户桶中。 考虑到操作记录是由用户触发产生带有很强的随机性，我们采用定时拉去操作记录，整理上传OBS的方式。这样对于EP模块主要的功能点就是两点： 1、定时获取操作记录。 2、操作记录上传OBS桶。 定时获取操作记录，这里有个问题，EP集群部署下多个EP节点之间如何分配任务。保证在定时触发的任务中由一个节点处理一个租户的所有操作记录。这里的实现细节及EP集群如何做到高可用，我们下回分解。 操作记录上传OBS桶没什么复杂的难点，利用OBS服务的SDK做集成就好了。不过要考虑的一个问题就是：如果出现任务失败，怎么保证多次上传操作记录文件对象时不出现多个对象文件。因为重试上传的对象文件内容必然有重复的地方，如果出现多个对象文件对于租户来说体验不好，且还存在重复计费的问题，这是我们不能接受的。 5053 理清楚上面的问题，我们的模块设计就如上图所示。开发语言是JAVA。 利用Spring的schedule模块做定时任务调度，每5分钟触发一次拉取操纵记录，然后放入一个内存队列中。 程序启动的时候启动了一个线程池，其中每个线程都在阻塞在获取内存队列中获取操作记录，一旦有操作记录进入队列中，线程抢到任务之后就会完成操作记录合并到一个文件，上传到OBS桶。至于上文提到的重试任务保证上传同一对象的问题，我们利用OBS 对象key一样就会覆盖的特性保证每次重试时生成同一个对象key来解决。 以上就是整个EP模块的处理逻辑。下篇文章我们将继续探讨EP模块的高可用是如何实现的。 PS：云审计服务（Cloud Trace Service）为您提供云账户下资源的操作记录，通过操作记录您可以实现安全分析，资源变更，合规审计，问题定位等场景。您可以通过配置OBS对象存储服务，将操作记录实时同步保存至OBS, 以便保存更长时间的操作记录。欢迎体验