如果您创建了跟踪并将事件投递到对象存储OSS,操作审计会将事件以gzip日志文件的形式投递到您的OSS存储空间,并以地域、年、月、日逐层设置为目录层级,存放您投递的事件。

存储路径

操作审计的跟踪投递到OSS存储空间后,OSS存储路径格式如下:

  • 单账号跟踪
    oss://<存储空间名称>/<日志文件前缀>/AliyunLogs/<日志类型标识符>/<地域标识符>/<YYYY>/<MM>/<DD>/Actiontrail_<地域标识符>_<YYYYMMDDHHMMSS>_1002_<事件条数>_<日志文件大小>_<md5>.gz
  • 多账号跟踪
    oss://<存储空间名称>/<日志文件前缀>/AliyunLogs/<日志类型标识符>/<rd_id>/<accountid>/<地域标识符>/<YYYY>/<MM>/<DD>/Actiontrail_<地域标识符>_<YYYYMMDDHHMMSS>_1002_<事件条数>_<日志文件大小>_<md5>.gz

OSS存储路径中字段含义及示例如下表所示。

字段 说明 示例
存储空间名称 创建跟踪时指定的OSS存储空间名称。

您可以在操作审计控制台跟踪列表页面查询OSS存储空间名称。

MyBucket
日志文件前缀 创建跟踪时指定的日志文件前缀。
说明 日志文件前缀为可选项。如果创建跟踪时未指定日志文件前缀,则不显示该字段。
action-logs
AliyunLogs 固定字符串,表示阿里云事件记录。 AliyunLogs
日志类型标识符 取值:
  • Actiontrail:管控事件。
  • Actiontrail-Insight:Insight事件。
    说明
    • Insight事件需要申请才能使用。更多信息,请参见Insight事件概览
    • 多账号跟踪不支持Insight事件。
 Actiontrail
rd_id 创建多账号跟踪时的管理账号所属的资源目录ID。 rd-UG****
accountid 多账号跟踪投递的事件所属的账号,可以为资源目录中的管理账号或成员。 181761095690****
地域标识符 事件所在的地域。 cn-hangzhou
YYYY 日志日期路径中表示年的数字。 2021
MM 日志日期路径中表示月的数字。 10
DD 日志日期路径中表示日的数字。 09
事件条数 日志文件中事件的个数。 564
日志文件大小 日志文件的大小。

单位:字节。

 51310
md5 日志文件的MD5字符串。 2bdf022eef574ce180b5ebc54132e6b2
说明
  • 日志文件路径中的时间是UTC时间,查询事件时您需要将北京时间转换为UTC时间。例如:北京时间2021年01月03日07:00:00,对应的UTC时间为2021-01-02T23:00:00Z,在事件查询时需要将DD指定为02。
  • 查询事件时可能需要将日志日期路径设置为事件发生前的某一天。例如:UTC时间为2021-10-01T23:00:00Z的事件,可能需要将日志日期路径设置为2021/09/30或更早的时间进行查询。

存储路径示例

  • 示例1:单账号跟踪管控事件示例

    以下存储路径示例表示,北京时间2021年10月09日08:05:03,在杭州地域创建了日志文件前缀为action-logs的单账号跟踪,事件类型为管控事件,并投递到对象存储OSS。OSS存储空间的日志文件中共有564个事件,大小为51310字节。

    action-logs/AliyunLogs/Actiontrail/cn-hangzhou/2021/10/09/Actiontrail_cn-hangzhou_20211009000503_1002_564_51310_2bdf022eef574ce180b5ebc54132e6b2.gz
  • 示例2:单账号跟踪Insight事件示例

    以下存储路径示例表示,北京时间2021年10月09日08:05:03,在杭州地域创建了日志文件前缀为action-logs的单账号跟踪,事件类型为Insight事件,并投递到对象存储OSS。OSS存储空间的日志文件中共有564个事件,大小为51310字节。

    action-logs/AliyunLogs/Actiontrail-Insight/cn-hangzhou/2021/10/09/Actiontrail_cn-hangzhou_20211009000503_1002_564_51310_2bdf022eef574ce180b5ebc54132e6b2.gz
  • 示例3:多账号跟踪管控事件示例

    以下存储路径示例表示,北京时间2021年09月30日14:40:18,在上海地域创建了日志文件前缀为rd-logs的多账号跟踪,管理账号所属的资源目录ID为rd-UG****,事件类型为管控事件,并投递到对象存储OSS。OSS存储空间的日志文件中共有1个事件,大小为639字节,日志文件的事件所属账号为181761095690****。

    rd-logs/AliyunLogs/Actiontrail/rd-UG****/181761095690****/cn-shanghai/2021/09/30/Actiontrail_cn-shanghai_20210930064018_1002_1_639_378e668b76e74e6c465a082b4fb17331.gz