本文为您介绍如何通过操作审计控制台创建多账号跟踪。多账号跟踪将把资源目录内所有成员账号的操作日志投递到多账号跟踪中设置的OSS Bucket或SLS Logstore中。

前提条件

您已经开通资源目录,详情请参见开通资源目录

操作步骤

  1. 通过企业管理账号登录操作审计控制台
  2. 在顶部导航栏选择您想创建多账号跟踪的地域。
    说明 该地域将成为多账号跟踪的Home地域。
  3. 在左侧导航栏,单击操作审计 > 跟踪列表
  4. 单击创建跟踪,输入跟踪名称
  5. 根据需要选择是否适用跟踪到所有的区域
    • 若选择,创建的多账号跟踪在所有地域均可以查看。
      说明 若无特殊情况,为避免遗漏事件,建议您选择此选项。
    • 若选择,从地域列表中,选择目标地域。
  6. 事件类型区域,选择写类型读类型所有类型
    • 写类型:对云上资源运行产生影响的事件,需重点关注。
    • 读类型:不影响资源的实际运行的事件。一般事件量非常大,会占用较多存储空间。
    • 所有类型:查看资源所有行为的事件。
  7. 根据需要选择是否将跟踪应用到所有成员账号
    说明
    • 此选项一旦选定不可更改。如果创建多账号跟踪后您需要修改将跟踪应用到所有成员账号选项,则需要删除多账号跟踪后重新创建。
    • 创建多账号跟踪后,跟踪列表页面中的创建来源列将显示将跟踪应用到所有成员账号的选择情况。
      • 若选择创建来源列显示RD-Root
      • 若选择创建来源列显示本账号
    • 若选择,创建的多账号跟踪将对整个资源目录生效。资源目录内所有成员账号的操作日志将投递到多账号跟踪设置的OSS Bucket或SLS Logstore中。
    • 若选择,则多账号跟踪仅将企业管理账号的操作日志投递到多账号跟踪中设置的OSS Bucket或SLS Logstore中。
  8. 是否开启日志记录区域,打开投递开关。
    说明 开启日志记录后,请您至少选择一项投递服务。
  9. 选择投递服务区域,选择将操作事件投递到OSS bucketSLS Logstore
    说明 目前投递的日志范围,是多账号跟踪生效后产生的新日志,不包括原有的最近90天日志。后续我们会默认将最近90天的日志一次性投递给您,最大限度、最大范围满足您的需求。
    • OSS bucket:您可以根据需要选择是否将操作事件投递到新的OSS Bucket。
      • 若选择,在文本框中输入OSS Bucket名称日志文件前缀

        此时,您可以在开启服务端加密区域为操作事件开启AES256KMS加密。关于OSS服务器加密功能,请参见服务器端加密

      • 若选择,单击OSS Bucket名称下的输入框,根据需要选择目标Bucket。

        此时,若您需要为操作事件开启服务器端加密,请前往OSS管理控制台自行开启,详情请参见设置服务器端加密

    • SLS Logstore:您可以根据需要选择是否将操作事件投递到新的SLS Project。
      • 若选择,选择日志服务Project区域,并在文本框中输入日志服务Project名称
      • 若选择,选择日志服务Project区域日志服务Project名称
  10. 单击确定

执行结果

创建多账号跟踪后,操作日志会以JSON格式保存在OSS Bucket或SLS Logstore中。您可以通过企业管理账号在OSS Bucket或SLS Logstore中查看已投递的操作日志。

说明 企业管理账号仅能在OSS Bucket或SLS Logstore中看到资源目录中成员账号的操作日志,不能通过操作审计控制台的历史事件查询LookupEvents接口查询成员账号的日志。
  • OSS Bucket:各成员账号中产生的全局事件,将与Home地域的操作事件放在一起;非全局事件,存放在资源归属的地域目录下。您可以通过Elastic MapReduce服务或自行授权第三方日志分析服务来分析此操作日志。

    OSS存储路径格式:

    oss://<bucket>/<日志文件前缀>/AliyunLogs/Actiontrail/rd_id/accountid/regionid/yyyy/mm/dd/日志文件
    OSS
  • SLS Logstore:操作审计会自动创建一个名为actiontrail_跟踪名称的Logstore,以及日志的索引和图表。

    更多详细信息,请参见ActionTrail访问日志

    SLS