操作审计(ActionTrail)帮助您监控并记录阿里云账号的活动,包括通过阿里云控制台、OpenAPI、开发者工具对云上产品和服务的访问和使用行为。您可以将这些行为事件下载或保存到日志服务SLS或对象存储OSS,然后进行行为分析、安全分析、资源变更行为追踪和行为合规性审计等操作。
操作审计的实现原理如下图所示。
事件类型
操作审计记录的事件分为管控事件和数据事件两种类型。
操作审计默认为每个账号保存最近 90 天的管控事件,支持在线查询和下载。数据事件默认不开启采集和存储,需要创建跟踪并开启数据事件记录。
事件类型 | 说明 | 保存方式 |
管控事件 | 对阿里云账号下的资源进行创建、修改、删除等管理操作(又称管控平面操作)产生的操作记录。例如创建 ECS 实例、删除安全组规则等。 同时,管控事件也包括与控制台相关的操作事件。例如登录阿里云控制台( | 操作审计默认为每个账号保存最近 90 天的管控事件,支持在线查询和下载。 |
数据事件 | 对云资源中的数据进行读写等操作(又称数据平面操作)产生的操作记录。例如读取 OSS Bucket 中的对象文件、查询表格存储OTS中的数据等。 | 操作审计默认不开启数据事件的采集和存储。如需记录数据事件,需创建数据事件跟踪,并将事件投递到日志服务 SLS 或对象存储 OSS 进行存储和分析。投递到日志服务 SLS 或对象存储 OSS 后,将按照对应服务的计费标准产生存储费用。 |
功能特性
开箱即用:无需配置,操作审计默认追踪并记录最近 90 天的管控事件,支持在线查阅事件。
自主管理:通过创建跟踪,操作审计可以将事件保存到日志服务 SLS(日志的形式)或对象存储 OSS(文件的形式)。投递到日志服务 SLS 或对象存储 OSS 后,将按照对应服务的计费标准产生存储费用。可以利用日志服务的检索能力、分析功能或进一步转存到大数据产品来管理这些数据,例如:授权、开启生命周期管理、归档管理、检索、分析和报警等。
多维度查询:操作审计支持从操作时段、用户名、资源类型、资源名称或操作名称等维度查询事件。
应用场景
等保合规:根据等保2.0条例要求,云上租户必须记录账户活动并至少保存180天。通过操作审计可以将账号活动记录投递到日志服务或OSS存储空间并长久保存。
安全分析:操作审计会对用户操作进行详细的记录,通过这些事件您可以判断您的账号是否存在安全问题。
例如:您可在跟踪中设置将操作事件投递到日志服务SLS的Logstore,进行更长时间地保存和SQL分析。
资源变更追踪:当您的资源出现异常变更时,操作审计记录的操作可以帮您定位问题。例如:当您发现一台ECS实例停机了,您可以通过操作审计定位停机的操作者、操作时间以及操作IP地址。
合规性审计:如果您的组织有多个成员,而且您已经使用了访问控制RAM来管理这些成员,操作审计可以满足您所在组织的合规性审计要求,帮您获取每个成员的详细事件。您还可以根据审计人员的职责不同,创建多个跟踪追踪不同区域的不同事件类型并投递到不同的存储空间。
例如:如果您在阿里云中国站和国际站均部署了资源,考虑到各国家数据安全要求不同,您可以创建多个追踪分别追踪不同国家、地域的操作事件,分别投递到当地的存储空间。
产品优势
快速推送:操作审计收集用户使用阿里云服务的事件(包括用户通过控制台触发的操作、调用阿里云API进行的操作以及云服务通过服务角色进行的操作等)。事件通常会在10分钟内被操作审计追踪并记录。
详细记录:操作审计会详细记录用户操作上下文信息,并可以通过操作审计控制台或调用API来查看最近90天的事件。例如:您可以获知是谁在什么时刻、从哪个源IP发起对哪个对象的什么操作?该操作来自于API还是控制台?操作结果是成功还是失败?失败原因是什么?
稳定可靠:操作审计支持将事件投递到日志服务SLS或对象存储OSS等存储产品中,这些存储产品具有高可用性,并且可以通过加密和权限控制,保证审计数据安全。当投递发生时,操作审计还将向您发送通知。
定制跟踪:您最多可以在每个地域创建5个跟踪,分别追踪不同的事件类型、区域范围,并可分别投递到不同的存储空间,以满足您为不同职责员工备份不同范围行为数据的要求。
说明应避免同一个区域的相同事件类型重复投递到同一个地址。
平台运维透明:操作审计可以近实时地记录并存储阿里云平台的操作日志,基于日志服务提供查询、分析、告警、报表等下游计算能力,为用户打开平台运维的黑盒,满足您对平台操作的分析和审计需求。