操作审计仅默认为每个阿里云账号存储最近90天的事件,而等保2.0(网络安全等级保护2.0制度)要求将事件保存180天及以上。您可以创建跟踪和跟踪历史投递任务,以便长期存储完整的事件。否则,将无法追溯90天以前的事件。

前提条件

  • 请确保您已开通日志服务SLS。

    当您首次使用日志服务时,需要登录日志服务控制台,根据页面提示开通日志服务。更多信息,请参见什么是日志服务

  • 请确保您已经通过提交工单,获取跟踪历史投递任务和Insight事件的使用权限。

背景信息

创建跟踪仅能投递跟踪创建时间之后的事件,为了将最近90天的事件进行完整的保存,您还需创建跟踪历史投递任务,补投递跟踪创建时间往前一段时间的事件。

补投递的跟踪历史时间范围的开始时间为当前时间往前90天,结束时间为跟踪历史投递任务关联的跟踪生效后5分钟。例如:您创建跟踪历史投递任务时关联跟踪A已经创建了40天,跟踪历史投递任务将投递跟踪A创建时间往前50天的跟踪历史。

说明
  • 跟踪历史投递任务仅支持将单账号跟踪的跟踪历史投递到日志服务SLS。
  • 一个阿里云账号同时只能存在一个正在运行的跟踪历史投递任务。

步骤一:创建单账号跟踪并将事件投递到日志服务SLS

  1. 登录操作审计控制台
  2. 在左侧导航栏,单击跟踪
  3. 在顶部菜单栏,选择您想创建单账号跟踪的地域。
    说明 该地域将成为单账号跟踪的Home地域,即创建跟踪的地域。
  4. 跟踪页面,单击创建跟踪
  5. 创建跟踪页面,设置跟踪的相关参数。
    • 基本信息区域,设置跟踪投递的事件,包括管控事件和Insight事件。
      说明 系统默认将跟踪投递的地域设置为全部地域。推荐您将管控事件设置为所有事件,以便跟踪全部地域的全部事件。关于参数的更多信息,请参见创建单账号跟踪
    • 审计事件投递区域,设置将跟踪投递到本账号的日志服务SLS。
      参数描述
      日志库所属地域日志项目所在地域。
      日志项目名称日志服务SLS中日志项目的名称。同一账号下,日志项目名称不能重复。
      • 当您选中创建新的日志项目时,将通过操作审计控制台新建日志项目,输入日志项目名称。
      • 当您选中选择已有的日志项目时,在日志服务SLS中选择已有日志项目名称。

        关于如何在日志服务SLS中新建日志项目,请参见快速入门

  6. 单击确认

步骤二:创建跟踪历史投递任务

  1. 在左侧导航栏,单击跟踪历史投递
  2. 在顶部菜单栏,选择您需要投递跟踪历史的地域。
    说明 该地域必须与单账号跟踪所在地域相同。
  3. 跟踪历史投递页面,单击创建任务
  4. 创建任务页面,选择跟踪。
    说明 选择跟踪后,系统将自动填入跟踪的地域、日志项目地域、日志项目名称和日志库信息。
  5. 单击确定

步骤三(可选):查询完整的事件

  1. 在左侧导航栏,单击跟踪
  2. 在顶部菜单栏,选择您单账号跟踪和跟踪历史投递任务所在的地域。
  3. 跟踪页面,将鼠标悬浮到目标跟踪存储服务列的SLSSLS&OSS上,然后单击SLS日志库名称。
  4. 单击15分钟(相对),设置查询的时间范围。
  5. 单击查询/分析,查询事件。