IBM Cloud Activity Tracker Event Routing 入门

使用 IBM Cloud® Activity Tracker Event Routing 来配置如何在 IBM Cloud中路由审计事件 ( 全局和基于位置的事件数据)。审计事件是安全操作的关键数据，也是满足合规要求的关键因素。控制存储位置对于在 IBM Cloud上构建企业级解决方案至关重要。

您可以使用 Activity Tracker Event Routing 这一平台服务，通过配置定义审计数据路由的目标和路由来管理帐户级的审计事件。Activity Tracker Event Routing 可路由在支持的区域中生成的事件。有关 IBM Cloud Activity Tracker Event Routing 的更多信息，请参阅关于 Activity Tracker Event Routing。

先决条件

安装 IBM Cloud CLI。
安装 IBM Cloud Activity Tracker Event Routing CLI。
您必须具有有权管理 IBM Cloud Activity Tracker Event Routing的用户标识。有关 IAM 角色以及如何分配这些角色的更多信息，请参阅使用 IAM 管理访问权和 IAM 角色。

步骤 1. 配置帐户全局设置

当您在帐户中配置 Activity Tracker Event Routing 时，您可以配置帐户设置，例如元数据位置、允许管理配置的端点类型、可定义目标的位置，以及未明确配置区域中收集审计事件的默认目标。有关更多信息，请参阅配置 Activity Tracker Event Routing 帐户设置。

设置这些设置以定义在帐户中收集，路由和管理审计事件的位置和方式。例如，要配置用于定义存储所有 Activity Tracker Event Routing 资源定义的区域的主元数据位置，请运行以下命令:

ibmcloud atracker setting update --metadata-region-primary <REGION>

其中，<REGION> 可以将区域设置为 Activity Tracker Event Routing 可用的任何受支持位置。

设置元数据位置时，请检查适用于数据位置的任何合规性或行业法规。

步骤 2. 配置 1 目标

目标将定义用于收集审计事件的位置。有关目标的更多信息，请参阅了解目标在帐户中的工作方式。

选择以下选项中的 1 以在帐户中配置目标:

其余指示信息假定您配置了 cloud-object-storage 目标。

步骤 3. 配置 1 路由

路径定义用于指示将帐户中生成的审计事件路由到何处的规则。路由在帐户下是全局的，并在部署了 Activity Tracker Event Routing 的所有区域中进行评估。有关更多信息，请参阅了解路径在帐户中的工作方式。

在此步骤中，您将配置路由以将区域和全局事件重定向到目标存储区。

运行以下命令创建路由：

ibmcloud atracker route create --name <ROUTE_NAME> --rules

位置

--name <ROUTE_NAME>

要对路由指定的名称。

--rules <ROUTING_RULES>

以单引号括起的 JSON 格式的规则定义。例如：

--rules '[{"locations":["global"],"target_ids":["11111111-1111-1111-1111-111111111111"]},{"locations":["us-south","us-east"],"target_ids":["22222222-2222-2222-2222-222222222222","33333333-3333-3333-3333-333333333333"]}]'

配置路由后，可能需要最多 1 小时才能启用配置。

例如，要创建路由以将审计事件发送到您在上一步中创建的目标，请运行以下命令。

ibmcloud atracker route create --name "my-route" --rules '[{"locations":["global","eu-de"],"target_ids":["TARGETID"]}]'

其中 TARGETID 是您在上一步中创建的目标的 ID。

步骤 4. 验证事件集合

配置目标和路由后，必须验证审计事件在存储区中是否可用。

例如，审计事件存储在存储区中的日志文件中。

日志文件的结构和名称如下所示:

<REGION>/<DATE>T<HOUR>/2021-02-23T15:38+05.log

位置

<REGION> 定义从中收集审计事件的区域。例如，有效值为 us-south 和 us-east。
<DATE> 定义收集审计事件的日期。格式为 YYYY-MM-DD。
<HOUR> 定义一天中的小时。该值是使用 24 小时制设置的。
<FILENAME> 定义时间戳记。格式为 YYYY-MM-DDTHH:MM+SS。

每个日志文件都包含具有映射文件名时间戳记的 eventTime 的审计事件。eventTime 指示生成审计事件的时间。

例如，收集美南地区审计事件的样本日志文件如下所示:

us-south/2021-02-23T15/2021-02-23T15:38+05.log

您可以选择以下任何方法来列示存储区中的对象:

下一步

规划帐户配置。有关更多信息，请参阅规划帐户配置。