单账号跟踪、多账号跟踪和平台事件跟踪的差异

操作审计中的单账号跟踪、多账号跟踪和平台事件跟踪都是为了实现事件的长期存储和管理,便于用户后续审查和追踪。这三种跟踪方式提供了不同级别的审计和监控能力,根据您的业务需求和合规性要求,您可以选择合适的跟踪类型,以确保有效的监控和审计。

单账号跟踪、多账号跟踪和平台事件跟踪的差异如下表所示。

差异项

单账号跟踪

多账号跟踪

平台事件跟踪

场景

个人用户需要投递事件到日志服务SLS、对象存储OSS或大数据计算服务MaxCompute时,可以创建单账号跟踪。

通过创建多个单账号跟踪,可以实现以下需求:

  • 不同角色审计不同范围的事件。

  • 合规管理多地域的审计数据。

  • 为事件创建多个副本备份。

企业用户(开通了资源目录的企业)需要将资源目录内的所有成员的事件投递到日志服务SLS、对象存储OSS或大数据计算服务MaxCompute时,可以创建多账号跟踪。

个人用户需要将阿里云运维团队针对用户服务的维护操作所产生的事件投递到日志服务SLS时,可以创建平台事件跟踪。

开通方式

阿里云账号登录即可使用,免开通。

当企业开通了资源目录并在资源目录中创建了组织结构后,管理账号可以在操作审计中创建多账号跟踪。

提交工单或向销售经理申请白名单。

支持的云服务

支持操作审计的云服务

支持操作审计的云服务

密钥管理服务KMS、数据安全中心DSC、对象存储OSS、云服务器ECS、云数据库RDS、容器服务Kubernetes版ACK、容器镜像服务ACR和E-MapReduce。

创建跟踪的账号

阿里云账号

管理账号

阿里云账号

投递的事件

个人用户通过阿里云控制台、OpenAPI、开发者工具访问和管控云上服务所产生的事件。

企业用户通过阿里云控制台、OpenAPI、开发者工具访问和管控云上服务所产生的事件。

阿里云运维团队针对用户服务的维护操作所产生的事件。

投递事件的范围

当前账号的事件

所有成员的事件

当前账号的平台事件

投递事件的存储空间

  • 日志服务SLS

  • 对象存储OSS

  • 大数据计算服务MaxCompute

  • 日志服务SLS

  • 对象存储OSS

  • 大数据计算服务MaxCompute

日志服务SLS

事件查询方式

  • 操作审计控制台

  • LookupEvents接口

  • 对象存储控制台

  • 日志服务控制台

管理账号:

  • 操作审计控制台(高级查询)

  • 对象存储控制台

  • 日志服务控制台

  • 操作审计控制台

  • 日志服务控制台

创建的最大跟踪数目

每个地域5个

所有地域1个

所有地域1个

OSS存储空间存储路径

  • 管控事件:oss://<bucket>/<日志文件前缀>/AliyunLogs/Actiontrail/<region>/<年>/<月>/<日>/<日志文件>

  • Insight事件:oss://<bucket>/<日志文件前缀>/AliyunLogs/Actiontrail-Insight/<region>/<年>/<月>/<日>/<日志文件>

    说明

    Insight事件需要申请才能使用。更多信息,请参见Insights事件概览

oss://<bucket>/<日志文件前缀>/AliyunLogs/Actiontrail/rd_id/accountid/regionid/yyyy/mm/dd/日志文件

不涉及

SLS Logstore默认名称

actiontrail_单账号跟踪名称

actiontrail_多账号跟踪名称

innertrail_平台事件跟踪名称

MaxCompute数据表名称

actiontrail_<跟踪名称>

actiontrail_<多账号跟踪名称>

不涉及