- 通识
- child::审计日志和OT的关系
梗概
Audit Log(审计日志) 是运维系统中非常关键的功能,尤其是在管理平台、云平台、Kubernetes、CD 系统、安全合规等场景下,用来记录”谁在什么时候做了什么事”。
核心价值
审计日志是安全合规和故障排查的重要依据,通过记录用户操作轨迹,实现操作的可追溯性和责任追究。
详细说明
审计日志的关键要素
1. 操作主体(Who)
- 用户身份信息
- 服务账户
- API 调用者身份
- 与身份验证系统集成
2. 操作时间(When)
- 精确的时间戳
- 时区信息
- 操作持续时间
3. 操作内容(What)
- 具体的操作类型(创建、修改、删除、查看等)
- 操作的资源对象
- 操作前后的状态变化
- 操作结果(成功/失败)
4. 操作环境(Where/How)
- 操作来源 IP 地址
- 使用的客户端或工具
- 访问路径和接口
应用场景
1. 云平台管理
- 与RAM 权限管理结合,记录权限变更
- 资源创建、修改、删除的完整记录
- 成本分析和资源使用追踪
2. Kubernetes 集群
- API Server 操作审计
- RBAC 权限使用记录
- 容器和应用部署历史
3. CI/CD 系统
- 代码部署记录
- 配置变更历史
- 流水线执行日志
4. 数据库系统
- 数据访问记录
- 权限变更日志
- 敏感数据操作追踪
与其他系统的关系
与日志系统的区别
- 普通日志:主要用于调试和性能监控
- 审计日志:专注于安全合规和操作追溯
与监控系统的配合
- 审计日志提供操作细节
- 监控系统提供系统状态和性能指标
- 结合使用实现全面的系统可观测性
最佳实践
1. 日志完整性
- 确保日志不可篡改
- 实现日志的集中存储和备份
- 建立日志轮转和归档策略
2. 性能考虑
- 异步写入避免影响业务性能
- 合理的日志级别设置
- 定期清理过期日志
3. 合规要求
- 满足行业法规要求(如 GDPR、SOX 等)
- 建立日志保留策略
- 实现日志访问控制