痛点:控制台变更审计的标准化困境
企业上云后,安全团队和运维团队需要定期审计子用户在腾讯云控制台上的变更操作。但实际操作中面临一系列挑战:
- 噪音太多:CloudAudit 记录了所有操作,但大量是登录事件、程序化调用、只读查询、内部服务调度,真正的变更操作被淹没
- 资源名称缺失:审计日志中只有资源 ID,没有可读的实例名称,需要人工逐个查询对应关系
- 风险分级不统一:不同人对同一操作的严重程度判断不一致,缺乏标准化
- 报告格式随意:每次审计输出的表格列不同、排序不同、命名方式不同,难以横向对比
- 导出格式混乱:手工复制粘贴到 Excel,容易遗漏和出错
CloudQ 本身具备 CloudAudit 日志查询能力,但如果能让它「按照你的审计标准」来分析,就能一次性解决以上所有问题——这就是自定义 Skill 的价值。
控制台变更审计 Skill 包详解
我们设计的「控制台变更审计 Skill 包」,专门用于子用户控制台变更操作的标准化审计分析。它将审计流程标准化为 7 个步骤:
Step 1:确定查询范围
支持自然语言时间表达,无需手动计算时间戳:
"昨天" → 前一日 00:00 ~ 23:59
"本周" → 本周一 00:00 ~ 当前
"近 24 小时" → 当前时间 - 24h ~ 当前时间
也支持指定子用户、产品、资源 ID 等过滤条件。
Step 2:采集审计事件
通过 CloudAudit API(DescribeEvents)自动采集审计事件,支持:
- 自动分页:超过单次查询上限时自动翻页,确保数据完整
- 错误处理:API 超时自动重试、权限不足明确标注、空结果验证后输出
• 超时 → 重试1次,仍超时则标注"数据采集超时,结果可能不完整"
• 权限不足 → 标注"当前账号无权限查询 XX 产品"
• 空结果 → 验证条件后输出"该时段无匹配变更"
Step 3:过滤噪音事件
自动排除 6 类非变更事件:
| 排除类型 | 示例 |
|---|---|
| 登录操作 | console login、CAM 登录 |
| DMC 会话 | 数据库管理中心登录/会话 |
| 程序化调用 | API/SDK/CLI 触发的操作 |
| 服务角色 | 云服务自身触发的操作 |
| 只读查询 | Describe/Get/List 类操作 |
| 内部服务调用 | CLB 健康检查、自动备份触发 |
过滤后只保留真正的控制台写操作和资源变更操作。
Step 4:标准化和资源名称解析
这是 Skill 包最核心的价值。审计日志中只有资源 ID,Skill 包定义了14+ 个产品的资源名称解析规则:
• CLB → 按 ID 查询 LoadBalancerName
• CVM → 按 ID 查询 InstanceName
• COS → 使用 bucket 名称
• MySQL/Redis → 按 ID 查询实例名称
• SSL 证书 → 按 ID 查询证书名称
• 安全组 → 按 ID 查询 SecurityGroupName
• VPC/NAT 网关 → 按 ID 查询名称
• 未列出产品 → 通用回退规则(Describe API → 事件字段 → 填 -)
对于无法查询到名称的资源,统一填 -,保留资源 ID,绝不猜测或用路径代替。
Step 5:风险分级
三级风险分类,覆盖常见变更类型:
| 级别 | 场景 |
|---|---|
| 🔴 高 | 隔离实例、释放 EIP、创建/删除核心实例、安全组规则删除/修改、VPC 路由表变更、NAT 网关释放 |
| 🟡 中 | 网关路由/服务变更、证书替换、权限变更、CVM 配置变更、CLB 后端绑定/解绑、Redis 配置修改 |
| 🟢 低 | 数据库审计开启、未生效操作、无权限失败操作 |
特殊规则:安全组规则删除或修改开放入站方向的为高风险,其他安全组变更为中风险。
Step 6:输出审计报告
标准化的 8 列输出格式:
报告开头是摘要信息:时间范围、过滤条件、变更总数、风险分布。超过 50 条的结果在聊天中仅展示 Top 20,完整数据在 Excel 中。
高风险变更会附带告警建议:
Step 7:Excel 报告导出
每次审计自动生成 Excel 工作簿,包含:
- 汇总表:所有变更按标准 8 列输出
- 产品明细表:每个产品独立一个 Sheet,基础列 + 产品特有字段
文件命名规范:console-audit-20260621-全部.xlsx
如何使用这个 Skill 包
1. 获取 Skill 包
解压后包含:
console-audit-skill/
├── SKILL.md # Skill 定义文件
└── references/
└── console-change-audit-rules.md # 审计规则详细定义
2. 上传到 CloudQ
在 CloudQ 的自定义 Skill 管理界面上传 Skill 包。上传后,当用户的问题包含「审计」「变更」「控制台操作」等关键词时,CloudQ 会自动加载此 Skill。
3. 使用示例
直接告诉 CloudQ:
审计摘要:2026-06-21 00:00~23:59 | 过滤:安全组相关 | 变更总数:3 | 🔴高:1 🟡中:2
⚠️ 高风险:子用户 ops-admin 删除了安全组 sg-abc123 的入站规则(0.0.0.0/0:22)
[完整审计报告 + Excel 已生成]
适配你的环境
Skill 包采用「已知产品规则 + 通用回退」设计,天然支持扩展:
- 新增产品规则:在 references 中的资源名称规则表增加对应产品和查询方式
- 调整风险分级:根据企业安全策略调整高中低分级标准
- 自定义排除规则:如有特定的内部服务账号需要排除,在排除规则中增加
- 扩展 Excel 字段:在产品明细字段表中增加所需的额外字段
总结
控制台变更审计 Skill 包让 CloudQ 从「查审计日志的助手」进化为「懂审计标准的合规专家」。核心价值:
- 6 类噪音过滤:只保留真正的变更操作,信噪比大幅提升
- 14+ 产品名称解析:资源 ID → 可读名称,不再需要人工对照
- 3 级风险分级:标准化评估,安全组/网络配置变更重点标注
- 标准化输出:8 列固定格式 + Excel 自动导出,跨次审计可对比
- 错误不隐瞒:超时、权限不足、空结果都明确标注,不误导
- 即开即用:上传 Skill 包,无需开发,立刻生效