文档

创建跟踪

更新时间:
重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

操作审计仅默认为每个阿里云账号记录最近90天的事件,您必须创建跟踪才能记录更长时间的事件,否则将无法追溯90天以前的事件。本文介绍如何在ActionTrail控制台上创建跟踪,将ActionTrail操作事件投递到日志服务中。

操作步骤

  1. 登录操作审计控制台

  2. 在左侧导航栏中,单击跟踪

  3. 创建跟踪页面,配置相关参数。

    1. 基本信息

      参数

      说明

      跟踪名称

      跟踪的名称,该名称将用于在SLS中对Logstore命名。

      说明

      跟踪名称不可重复。

      跟踪配置

      跟踪投递的事件。取值:

      • 管控事件:系统默认选中管控事件,请选择事件类型。取值:

        • 所有事件:读事件和写事件。审计相关的法规和标准均强调对审计事件的完整记录,建议您选择所有事件

        • 写事件:增加、删除或修改云上资源的事件,例如:CreateInstance (创建一台包年包月或者按量付费的ECS实例)。如果您仅导出事件进行自定义分析,且只关注会影响云资源的事件,则选择写事件

        • 读事件:本身没有在云上增加、删除或修改配置的操作意图,也不会对云上配置造成变更,仅读取云服务资源信息的事件,例如:DescribeInstances(查询一台或多台ECS实例的详细信息)。读事件一般事件量非常大,会占用较多存储空间。但审计相关法规和标准均强调对审计事件的完整记录,所以建议您同时投递读事件,以便完整还原AccessKey的使用历史和资源的访问历史。

      • Insights事件:请根据实际情况选择。选中Insights事件后,管控事件的事件类型会默认选中所有事件,操作审计会基于管控事件识别存在风险的API调用事件、API错误事件、IP请求事件、AccessKey调用事件、权限变更事件、密码变更事件和隐匿行踪事件并生成Insights事件。关于Insights事件的更多信息,请参见Insights事件概览

      说明

      当您通过操作审计控制台创建跟踪时,默认将跟踪投递的地域设置为全部地域。如果需要创建部分地域的跟踪,请调用创建跟踪接口设置TrailRegion参数。

    2. 配置审计事件投递信息。

      1. 创建服务关联角色AliyunServiceRoleForActionTrail。

        该操作仅在首次配置时需要,且需要由阿里云账号完成。

        警告

        请勿取消授权或删除AliyunServiceRoleForActionTrail角色,否则将导致ActionTrail操作事件无法正常推送到日志服务。

      2. 选中将事件投递到日志服务SLS

      3. 选择要投递的账号。

      4. 根据您所选择的投递账户,完成如下配置。

        • 投递到本账号

          参数

          说明

          日志项目

          根据需求,选择创建新的日志项目选择已有的日志项目

          日志库所属地域

          选择Project所在地域。

          日志项目名称

          日志服务Project名称。

        • 投递到其他账号

          选择投递到其他账号时需要先在目标账号中创建RAM角色,授予操作审计服务向目标账号投递事件的权限。具体操作,请参见将多个阿里云账号的事件投递到同一账号。相关参数说明如下表所示。

          参数

          说明

          日志项目ARN

          输入Project所在地域、目标阿里云账号ID和Project名称。

          日志写入角色ARN

          输入阿里云账号(目标账号)ID和角色名称。

      5. 单击确认

后续步骤

将ActionTrail操作事件投递到日志服务后,您可以在日志服务中执行查询分析、下载、投递、加工日志,创建告警等操作。具体操作,请参见云产品日志通用操作

  • 本页导读 (1)
文档反馈