操作审计(ActionTrail)帮助您监控并记录阿里云账号的活动,包括通过阿里云控制台、OpenAPI、开发者工具对云上产品和服务的访问和使用行为。您可以将这些行为事件下载或保存到日志服务或OSS存储空间,然后进行行为分析、安全分析、资源变更行为追踪和行为合规性审计等操作。

操作审计的实现原理如下图所示。操作审计介绍

功能特性

  • 开箱即用:无需配置,操作审计默认为您追踪并记录最近90天的操作记录,支持您在线查阅。
  • 自主管理:通过创建跟踪,操作审计可以将操作记录保存到日志服务(日志的形式)或OSS存储空间(文件的形式)。您可以利用日志服务的检索能力、分析功能或进一步转存到大数据产品来管理这些数据,例如授权、开启生命周期管理、归档管理、检索、分析和报警等。
  • 多维度查询:操作审计支持从操作时段、用户名、资源类型、资源名称或操作名称等维度查询历史操作事件。

应用场景

  • 等保合规:根据等保2.0条例要求,云上租户必须记录账户活动并至少保存180天。通过操作审计可以将账号活动记录投递到日志服务或存储空间并长久保存。
  • 安全分析:操作审计会对用户操作进行详细的记录,通过这些操作记录您可以判断您的账号是否存在安全问题。
    例如:您可在跟踪中设置将操作事件投递到SLS Logstore,做更长时间的保存和SQL分析。事件投递
  • 资源变更追踪:当您的资源出现异常变更时,操作审计记录的操作可以帮您定位问题。例如:当您发现一台ECS实例停机了,您可以通过操作审计定位停机的操作者、操作时间以及操作IP地址。
  • 合规性审计:如果您的组织有多个成员,而且您已经使用了阿里云访问控制(RAM)服务来管理这些成员,操作审计可以满足您所在组织的合规性审计要求,帮您获取每个成员的详细操作记录。您还可以根据审计人员的职责不同,创建多个跟踪追踪不同区域的不同事件类型并投递到不同的存储空间。
    例如:如果您在阿里云国内站和国际站均部署了资源,考虑到各国家数据安全要求不同,您可以创建多个追踪分别追踪不同国家、地域的操作事件,分别投递到当地的存储空间。应用场景

产品优势

  • 快速推送:操作审计收集用户使用阿里云服务的操作记录(包括用户通过控制台触发的操作、调用阿里云API进行的操作以及云服务通过服务角色进行的操作等)。操作记录会在10分钟内被操作审计追踪并记录。
  • 详细记录:操作审计会详细记录用户操作上下文信息,并可以通过操作审计控制台或调用API来查看最近90天的操作记录。例如,您可以获知是谁在什么时刻、从哪个源IP发起对哪个对象的什么操作?该操作来自于API还是控制台?操作结果是成功还是失败?失败原因是什么?
  • 稳定可靠:操作审计支持将操作记录投递到阿里云对象存储(OSS)或日志服务(Log Service)等存储产品中,这些存储产品具有极高的可用性,并且可以通过加密和权限控制,保证审计数据安全。当投递发生时,操作审计还将向您发送通知。
  • 定制跟踪:您最多可以在每个区域创建5个跟踪,分别追踪不同的事件类型、区域范围,并可分别投递到不同的存储空间,以满足您为不同职责员工备份不同范围行为数据的要求。
    说明 应避免同一个区域的相同事件类型重复投递到同一个地址。
  • 平台运维透明:操作审计可以近实时地记录并存储阿里云平台的操作日志,基于日志服务提供查询、分析、告警、报表等下游计算能力,为用户打开平台运维的黑盒,满足您对平台操作的分析和审计需求。