全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 钉钉智能硬件
日志服务

处理-通过ActionTrail实现日志审计

更新时间:2017-06-26 10:35:05

Action Trail 是阿里云提供的一款云产品,用于记录用户账号各类 API 调用操作。Action Trail 记录了每次 API 调用的重要信息,如操作者、操作时间、对象、动作类型、来源等详尽的信息。这些调用记录,可以精确追踪、还原用户行为,对于安全分析,资源变更追查,合规审查有非常重要的作用。

日志服务数据可以通过Action Trail对采集到的多来源日志进行全方位的信息审计,达到日志审计的目的。

功能架构

1. Action Trail 接入日志服务

各类API调用的日志分散在各处,可以通过日志服务批量收集散落在各地的日志。各个应用通过Logtail,将每条日志解析为 key:value 式的半结构化形式,并上传至日志服务中应用各自的Project。然后通过 RAM 授权 Action Trail 读取这部分日志。只要约定 Action Trail 需要的key,Action Trail就可以直接从日志服务消费各应用的 API 调用日志了。

2. Action Trail 批量处理各类日志

各个应用所产生的日志类型和日志格式各不相同,但这些日志经由日志服务收集到服务端后,以半结构化格式储存。Action Trail 对于半结构化格式的日志可以做到批量处理、分析。Action Trail 实时地从日志服务中抓取各应用的日志,提取必要的字段,并将剩余的字段统一打包在一起。清洗完毕的数据,Action Trail 也记录在本地,通过 Logtail 实时上传至日志服务中 Action Trail 的 Project 中。

下图就是经过清洗处理后的一条日志,该日志记录了一个用户在 17:53 重启了一个虚拟机。

1

3. 数据存储

Action Trail 定期从日志服务中批量读取处理后的日志,根据用户账号和应用类型进行分类,上传至用户授权的 bucket 中,以供用户直接从自己的 OSS bucket 中读取这部分日志。

本文导读目录