操作审计仅默认为每个阿里云账号记录最近90天的事件,您必须创建跟踪才能记录更长时间的事件,否则将无法追溯90天以前的事件。本文为您介绍单账号跟踪的工作原理和使用场景。

工作原理

创建单账号跟踪并投递到日志服务SLS或对象存储OSS,事件会以JSON格式保存在SLS Logstore或OSS存储空间中,便于您查询、分析或长时间存储事件。您可以按需选择存储服务:

  • 如果您需要查询或分析事件,可以将事件投递到日志服务SLS。事件通常会在1分钟内投递至您的SLS LogStore。
  • 如果您需要长时间存储事件(归档事件),可以将事件投递到对象存储OSS。事件通常会在10分钟内投递至您的OSS存储空间。

    操作审计会按照一定规则对事件进行聚合,然后将事件投递到您的OSS存储空间。通常每5分钟的多个事件会聚合为一个文件,如果您的事件非常多,则每5分钟会产生多个文件。

单账号跟踪原理如下图所示。

1

使用场景

多个单账号跟踪可以解决以下问题:

  • 创建多个单账号跟踪可以将不同的数据投递到不同的存储空间,并授予企业角色相应的权限,从而实现不同角色审计不同范围的事件。
  • 创建多个单账号跟踪到不同的国家和地域,分别投递到当地的存储空间,可以合规管理多地域的审计数据。
  • 为事件创建多个副本备份,以免数据丢失。
说明 当您使用多个单账号跟踪时,建议您不要将多个单账号跟踪设置为同一个投递地址,这可能造成事件的重复投递和存储空间的浪费。