操作审计仅默认为每个阿里云账号存储最近90天的操作事件,而等保2.0(网络安全等级保护2.0制度)要求将操作事件保存180天及以上。您可以创建跟踪和历史事件投递任务,以便长期存储完整的操作事件。否则,将无法追溯90天以前的操作事件。

前提条件

通过 提交工单或向销售经理申请白名单,获取历史事件投递任务功能的使用权限。

背景信息

创建跟踪仅能投递跟踪创建时间之后的操作事件,为了将最近90天的操作事件进行完整的保存,您还需创建历史事件投递任务,补投递跟踪创建时间往前一段时间的操作事件。

补投递的历史事件时间范围的开始时间为当前时间往前90天,结束时间为历史事件投递任务关联的跟踪生效后5分钟。例如:您创建历史事件投递任务时关联跟踪A已经创建了40天,历史事件投递任务将投递跟踪A创建时间往前50天的历史事件。

说明
  • 历史事件投递任务仅支持将单账号跟踪的历史事件投递到日志服务SLS。
  • 一个阿里云账号同时只能存在一个正在运行的历史事件投递任务。

步骤一:创建单账号跟踪并将操作事件投递到日志服务SLS

  1. 登录操作审计控制台
  2. 在左侧导航栏,单击跟踪列表
  3. 在顶部导航栏选择您想创建单账号跟踪的地域。
    说明 该地域将成为单账号跟踪的Home地域,即创建跟踪的地域。
  4. 跟踪列表页面,单击创建跟踪
  5. 跟踪基本属性页面,输入跟踪名称,选择跟踪的地域全部地域事件类型所有事件,然后单击下一步
  6. 审计事件投递页面,选择将事件投递到日志服务SLS,然后选择投递到本账号,设置如下参数。
    参数 描述
    日志库所属地域 日志项目所在地域。
    日志项目名称 日志服务SLS中日志项目的名称。同一账号同一地域下,日志项目名称不能重复。
    • 当您选中创建新的日志项目时,将通过操作审计控制台新建日志项目,输入日志项目名称。
    • 当您选中选择已有的日志项目时,在日志服务SLS中选择已有日志项目名称。

      关于如何在日志服务SLS中新建日志项目,请参见日志服务快速入门

  7. 单击下一步
  8. 预览并创建页面,确认跟踪信息,单击提交

步骤二:创建历史事件投递任务

  1. 登录操作审计控制台
  2. 在左侧导航栏,单击历史事件投递任务
  3. 在顶部导航栏选择您需要投递历史事件的地域。
    说明 该地域必须与单账号跟踪所在地域相同。
  4. 历史事件投递任务页面,单击创建任务
  5. 创建任务页面,选择跟踪。
    说明 选择跟踪后,系统将自动填入跟踪的地域、日志项目地域、日志项目名称和日志库信息。
  6. 单击确定

步骤三(可选):查询完整的操作事件

  1. 登录操作审计控制台
  2. 在左侧导航栏,单击跟踪列表
  3. 在顶部导航栏选择您单账号跟踪和历史事件投递任务所在的地域。
  4. 跟踪列表页面,单击目标跟踪日志服务列的日志分析
  5. 单击15分钟(相对),设置查询的时间范围。
  6. 单击查询/分析,查询历史事件。