操作审计(ActionTrail)帮助您监控并记录阿里云账号的活动。首次使用操作审计时,您可以创建跟踪将后续新产生的事件投递到日志服务SLS或对象存储OSS,然后创建跟踪历史投递任务将最近90天的事件投递到SLS,以便长期存储完整的事件。您也可以通过操作审计控制台查询多个地域超过90天的事件。

前提条件

  • 请确保您已开通日志服务SLS。

    当您首次使用日志服务时,需要登录日志服务控制台,根据页面提示开通日志服务。更多信息,请参见什么是日志服务

  • 请确保您已经通过提交工单,获取跟踪历史投递任务和Insight事件的使用权限。

步骤一:创建跟踪

本文以创建单账号跟踪并投递到日志服务SLS为例,为您介绍如何创建您的第一个跟踪。

您也可以创建多账号跟踪,或者将跟踪投递到对象存储OSS。更多信息,请参见创建单账号跟踪创建多账号跟踪

  1. 登录操作审计控制台
  2. 在左侧导航栏,单击跟踪
  3. 在顶部菜单栏,选择您想创建单账号跟踪的地域。
    说明 该地域将成为单账号跟踪的Home地域,即创建跟踪的地域。
  4. 跟踪页面,单击创建跟踪
  5. 创建跟踪页面,设置跟踪的相关参数。
    • 基本信息区域,设置跟踪投递的事件,包括管控事件和Insight事件。
      说明 系统默认将跟踪投递的地域设置为全部地域。推荐您将管控事件设置为所有事件,以便跟踪全部地域的全部事件。关于参数的更多信息,请参见创建单账号跟踪
    • 审计事件投递区域,设置将跟踪投递到本账号的日志服务SLS。
      参数描述
      日志库所属地域日志项目所在地域。
      日志项目名称日志服务SLS中日志项目的名称。同一账号下,日志项目名称不能重复。
      • 当您选中创建新的日志项目时,将通过操作审计控制台新建日志项目,输入日志项目名称。
      • 当您选中选择已有的日志项目时,在日志服务SLS中选择已有日志项目名称。

        关于如何在日志服务SLS中新建日志项目,请参见快速入门

  6. 单击确认

步骤二:创建跟踪历史投递任务

创建跟踪仅能投递跟踪创建时间之后的事件,为了将最近90天的事件进行完整的存储,您还需创建跟踪历史投递任务,补投递跟踪创建时间往前一段时间的事件。

说明 您需要提交工单,才能使用跟踪历史投递任务功能。

关于跟踪历史投递任务的更多信息,请参见创建跟踪历史投递任务

  1. 在左侧导航栏,单击跟踪历史投递
  2. 在顶部导航栏选择您需要投递跟踪历史的地域。
    说明 该地域必须与跟踪所在地域相同。
  3. 跟踪历史投递页面,单击创建任务
  4. 创建任务页面,选择跟踪。
    说明 选择跟踪后,系统将自动填入跟踪的地域、日志项目地域、日志项目名称和日志库信息。
  5. 单击确定
    创建任务后,您可以在跟踪历史投递页面查看关联跟踪、可补跟踪历史范围、投递状态、任务创建时间、任务完成时间等信息。

步骤三:进行事件高级查询

操作审计提供事件基础查询、事件聚合查询和事件高级查询等多种事件查询方式。本文以事件高级查询为例为您介绍如何通过操作审计控制台查询事件。

关于事件基础查询、事件聚合查询的更多信息,请参见事件基础查询事件聚合查询

  1. 在左侧导航栏,单击跟踪
  2. 跟踪页面,打开目标跟踪名称对应高级查询列的开关。
  3. 在左侧导航栏,单击事件高级查询
  4. 高级查询页面,单击自定义查询页签,然后查询事件。
    说明 如果不设置筛选条件,默认查询全部事件。
    1. 输入筛选条件。
    2. 单击查询
    3. 单击事件前面的加号,查询事件细节。
    4. (可选)单击事件详情,查询事件代码。
    1. 单击切换到简洁模式
    2. 输入筛选条件。
    3. 单击查询
    4. 单击事件前面的加号,查询事件细节。
    5. (可选)单击事件详情,查询事件代码。

后续步骤

当您将事件投递到SLS或OSS后,可以通过SLS或OSS查询或分析事件。具体操作,请参见: