本文为您介绍如何通过操作审计控制台创建跟踪。创建跟踪可以将操作事件保存更长的时间,以便对操作事件进行分析。

背景信息

跟踪可以圈定追踪数据的地域、事件类型和投递地址。您也可以创建多个跟踪,每个阿里云账号在每个地域最多可以创建五个跟踪。

说明 当您使用多个跟踪时,建议您不要将多个跟踪设置为同一个投递地址,这可能造成事件的重复投递和存储空间的浪费。

多个跟踪可以解决以下问题:

  • 创建多个跟踪可以将不同的数据投递到不同的存储空间,并授予企业角色相应的权限,从而实现不同角色审计不同范围的操作事件。
  • 创建多个跟踪到不同的国家和地域,分别投递到当地的存储空间,可以合规管理多区域的审计数据。
  • 为操作事件创建多个副本备份,以免数据的丢失。

操作审计支持多个跟踪后,为避免全局事件的重复记录,会根据以下原则处理全局事件:

  • 当您在线查看操作事件时,无论将控制台切换到哪个地域,都可以看到所有的全局事件。
  • 当您创建跟踪时将操作事件投递到OSS Bucket后,全局事件默认与Home地域的事件在同一个文件中。

操作步骤

  1. 登录操作审计控制台
  2. 在顶部导航栏选择您想创建跟踪的地域。
    说明 该地域将成为目标跟踪的Home地域。
  3. 在左侧导航栏,单击操作审计 > 跟踪列表
  4. 单击创建跟踪,输入跟踪名称
  5. 根据需要选择是否适用跟踪到所有的区域
    • 若选择,创建的跟踪在所有地域均可以查看。
      说明 若无特殊情况,为避免遗漏事件,建议您选择此选项。
    • 若选择,单击适用跟踪到所有的区域下的输入框,根据需要选择目标地域。
  6. 事件类型区域,选择写类型读类型所有类型
    • 写类型:对云上资源运行产生影响的事件,需重点关注。
    • 读类型:不影响资源的实际运行的事件。一般事件量非常大,会占用较多存储空间。
    • 所有类型:查看资源所有行为的事件。
  7. 是否开启日志记录区域,打开投递开关。
    说明 开启日志记录后,请您至少选择一项投递服务。
  8. 选择投递服务区域,选择将操作事件投递到OSS bucketSLS Logstore
    说明 目前投递的日志范围,是跟踪生效后产生的新日志,不包括原有的最近90天日志。后续我们会默认将最近90天的日志一次性投递给您,最大限度、最大范围满足您的需求。
    • OSS bucket:您可以根据需要选择是否将操作事件投递到新的OSS Bucket。
      • 若选择,在文本框中输入OSS Bucket名称日志文件前缀

        此时,您可以在开启服务器端加密区域为操作事件开启AES256KMS加密。关于OSS服务器加密功能,请参见服务器端加密

      • 若选择,单击OSS Bucket名称下的输入框,根据需要选择目标Bucket。

        此时,若您需要为操作事件开启服务器端加密,请前往OSS管理控制台自行开启,详情请参见设置服务器端加密

    • SLS Logstore:您可以根据需要选择是否将操作事件投递到新的SLS Project。
      • 若选择,选择日志服务Project区域,并在文本框中输入日志服务Project名称
      • 若选择,单击日志服务Project名称下的输入框,根据需要选择目标Project。
  9. 单击确定

执行结果

创建跟踪后,操作事件会以JSON格式保存在OSS bucketSLS Logstore中,便于您对操作事件进行查询和分析。

  • OSS bucket:操作事件以压缩格式保存,大小不超过2KB。您可以通过Elastic MapReduce服务或自行授权第三方日志分析服务来分析此操作事件。

    OSS存储路径格式:

    oss://<bucket>/<日志文件前缀>/AliyunLogs/Actiontrail/<region>/<年>/<月>/<日>/<日志数据文件>
  • SLS Logstore:操作审计会自动创建一个名为actiontrail_跟踪名称的Logstore及索引和图表。

    更多详细信息,请参见ActionTrail访问日志

    Logstore索引和图表