您可以通过操作审计控制台创建单账号跟踪。创建单账号跟踪可以持续将操作日志收集到OSS Bucket或SLS Logstore中,以便对操作日志进行分析。如果未创建跟踪,操作审计控制台仅能查看近90天的操作日志。

创建单账号跟踪后,操作事件会以JSON格式保存在OSS Bucket或SLS Logstore中,便于您对操作事件进行查询和分析。单账号跟踪原理如下图所示。1
说明 当您使用多个单账号跟踪时,建议您不要将多个单账号跟踪设置为同一个投递地址,这可能造成事件的重复投递和存储空间的浪费。

多个单账号跟踪可以解决以下问题:

  • 创建多个单账号跟踪可以将不同的数据投递到不同的存储空间,并授予企业角色相应的权限,从而实现不同角色审计不同范围的操作事件。
  • 创建多个单账号跟踪到不同的国家和地域,分别投递到当地的存储空间,可以合规管理多地域的审计数据。
  • 为操作事件创建多个副本备份,以免数据的丢失。

操作审计支持多个单账号跟踪后,为避免全局事件的重复记录,会根据以下原则处理全局事件:

  • 当您在线查看操作事件时,无论将控制台切换到哪个地域,都可以看到所有的全局事件。
  • 当您创建单账号跟踪时将操作事件投递到OSS Bucket后,全局事件默认与Home地域的事件在同一个文件中。