Журнал действий

Сервис Журнал действий позволяет хранить и исследовать записи о совершённых всеми пользователями компании действиях.

Примечание

Вместе с учётной записью создаётся системный пользователь. Все вызовы API, совершённые системным пользователем, регистрируются в Журнале действий.

Доступ

По умолчанию доступ к сервису Журнал действий для всех пользователей отключён. В разделе IAM Пользователи вы можете изменить эти права, добавив пользователя в группу ActivityLogAdministrators в любом проекте.

Внимание

Привилегии группы Activity Log Administrators позволяют входящим в неё пользователям контролировать события во всех проектах компании независимо от того, в каком проекте они были добавлены!

Определения

В рамках Журнала действий определены несколько типов сущностей: события, трейлы, отчёты.

События

Событие — запись, содержащая описание пользовательского действия. Каждое событие соответствует одному вызванному методу API. Кроме этого, события создаются для некоторых пользовательских действий, не являющихся вызовами API. Их список приведён ниже.

Важным атрибутом события является «Только чтение». События на чтение содержат вызовы методов API, которые только считывают информацию о ресурсах, не внося в них изменения. Такими методами являются, например, Describe-методы, вызывающиеся при открытии практически любой страницы веб-интерфейса облака. Как правило, такие события не обладают высокой важностью для анализа пользовательских действий, поэтому в разделе «Журнал действий» веб-интерфейса фильтр «Только чтение» по умолчанию установлен в значение «Нет». При запросе списка событий через CloudTrail API также есть возможность фильтрации по атрибуту ReadOnly.

Со списком названий методов API, логирующихся в Журнале действий, можно ознакомиться здесь:

• EC2 API

• CloudTrail API

• CloudWatch API

• IAM API

• RemoteConsole API

• Auto Scaling API

• Backup API

• Route53 API

• EKS API

• Elastic Load Balancing API

• PaaS API

Кроме того, в Журнале действий логируются следующие операции, не являющиеся методами API:

• События сессий веб-интерфейса

Примеры соответствия названий методов действиям пользователя:

Название метода	Действие пользователя
ModifyInstanceAttribute	Изменение атрибутов экземпляра (описание, данные пользователя, тип экземпляра)
AssociateAddress	Ассоциация публичного адреса с экземпляром или сетевым интерфейсом
CreateNetworkAclEntry	Создание правила в списке контроля доступа
AuthorizeSecurityGroupIngress	Создание входящего правила в группе безопасности
CreateVpnConnection	Создание VPN-соединения
PutMetricAlarm	Создание/обновление аларма
CreateTrail	Создание трейла

Внимание

Действия, производимые внутри экземпляра (например выключение экземпляра), не являются вызовами методов API, поэтому для них события не создаются.

Событие хранится в формате JSON и содержит различные данные: имена пользователей, события, параметры запросов и т.д.

По умолчанию события доступны в течение 30 дней.

Полное описание структуры события

Трейлы

Трейл — конфигурация сохранения событий в бакет объектного хранилища. Трейл инструктирует облако сохранять события, совершенные всеми пользователями компании, в указанный бакет. События сохраняются каждые 5 минут в виде tar.gz архива. Для создания трейла, который записывает события всех проектов компании в бакет, пользователь должен иметь доступ к объектному хранилищу проекта, в котором создаётся трейл. В противном случае будет получена ошибка Пользователь не обнаружен.

Полное описание структуры трейла

Отчёты

Журнал действий позволяет строить отчёты по существующим событиям в форматах CSV и JSON. Для этого необходимо в подразделе События нажать Создать отчёт CSV или Построить отчёт JSON, соответственно. Проверить текущий статус отчёта и скачать его можно в подразделе Отчёты.

Важно

• Максимальное количество одновременно хранимых завершённых отчётов — 5, далее новые отчёты будут сменять старые

• Максимальное количество одновременно строящихся отчётов — 2

• Время хранения завершённых отчётов — 3 дня

Раздел «Журнал действий»

Используйте Журнал действий для детального анализа событий в ваших проектах и мониторинга безопасности за последние 30 дней. Для анализа собранных данных можно применить простые фильтры, использовать регистрозависимый поиск в подразделе События или построить отчёт в форматах CSV или JSON. Построение отчёта за последние 30 дней может занять некоторое время. Чтобы уменьшить количество записей в выгрузке, используйте конкретный фильтр или диапазон времени. Агрегировать и хранить журналы событий можно также в объектном хранилище. Дополнительные сведения см. в разделе Трейлы.

Сценарии использования

Вот несколько примеров возможного использования Журнала действий:

1. Вам нужно найти пользователя, который неоднократно производил определённые операции над сущностями, например, выключал экземпляры с БД в одном или нескольких проектах. В подразделе События выберите фильтр Действие, введите полное название этого действия с учётом регистра (например, StopInstances) и диапазон времени, за который вы хотите получить данные (но не ранее, чем за 30 дней) и примените фильтр. Теперь вы можете восстановить полную картину и изучить историю каждого события, нажав на Детали события.

2. Вам нужно найти пользователя, который произвёл какое-то действие над конкретной сущностью, например, 2 недели назад удалил рабочий экземпляр i-XXXXXXXX. Для этого в подразделе События выберите временной диапазон и нажмите Создать отчёт CSV или Создать отчёт JSON. Форматы CSV или JSON помогут вам детально анализировать события, задать конкретные условия (например, действие TerminateInstances и ID конкретной сущности i-XXXXXXXX) и извлечь данные пользователя (User name), выполнившего это действие.

Примечание

Для детального анализа событий ваших проектов, отслеживания конкретных изменений сущностей и анализа безопасности используйте инструменты для работы с форматами CSV или JSON.

Подписка

Сервис Журнал действий предоставляется по подписке. При истекшей или неактивированной подписке становятся недоступными раздел Журнал действий и CloudTrail API, а трейлы перестают агрегировать события. События, сохранённые в объектном хранилище остаются доступными.

После активации подписки, API и раздел в веб-интерфейсе снова становятся доступными, а трейлы продолжают работать.

Управлять подписками можно в разделе Биллинг.

Ограничения CloudTrail

Имеются следующие ограничения при работе с CloudTrail:

Величина	Ограничение
Количество трейлов	2
Время хранения событий без трейла	30 дней

При необходимости вы можете ослабить ограничения — для этого обратитесь в службу поддержки.