本文为您介绍如何通过操作审计控制台创建单账号跟踪。创建单账号跟踪可以将操作日志投递到OSS Bucket或SLS Logstore中,以便对日志进行分析。如果未创建跟踪,操作审计控制台仅能查看近90天的操作日志。

操作步骤

  1. 登录操作审计控制台
  2. 在顶部导航栏选择您想创建单账号跟踪的地域。
    说明 该地域将成为单账号跟踪的Home地域。
  3. 在左侧导航栏,单击操作审计 > 跟踪列表
  4. 单击创建跟踪,输入跟踪名称
  5. 根据需要选择是否适用跟踪到所有的区域
    • 若选择,创建的单账号跟踪在所有地域均可以查看。
      说明 若无特殊情况,为避免遗漏事件,建议您选择此选项。
    • 若选择,从地域列表中,选择目标地域。
  6. 事件类型区域,选择写类型读类型所有类型
    • 写类型:对云上资源运行产生影响的事件,需重点关注。
    • 读类型:不影响资源的实际运行的事件。一般事件量非常大,会占用较多存储空间。
    • 所有类型:查看资源所有行为的事件。
  7. 是否开启日志记录区域,打开投递开关。
    说明 开启日志记录后,请您至少选择一项投递服务。
  8. 选择投递服务区域,选择将操作事件投递到OSS bucketSLS Logstore
    说明 目前投递的日志范围,是单账号跟踪生效后产生的新日志,不包括原有的最近90天日志。后续我们会默认将最近90天的日志一次性投递给您,最大限度、最大范围满足您的需求。
    • OSS bucket:您可以根据需要选择是否将操作事件投递到新的OSS Bucket。
      • 若选择,在文本框中输入OSS Bucket名称日志文件前缀

        此时,您可以在开启服务端加密区域为操作事件开启AES256KMS加密。关于OSS服务器加密功能,请参见服务器端加密

      • 若选择,单击OSS Bucket名称下的输入框,根据需要选择目标Bucket。

        此时,若您需要为操作事件开启服务器端加密,请前往OSS管理控制台自行开启,详情请参见设置服务器端加密

    • SLS Logstore:您可以根据需要选择是否将操作事件投递到新的SLS Project。
      • 若选择,选择日志服务Project区域,并在文本框中输入日志服务Project名称
      • 若选择,选择日志服务Project区域日志服务Project名称
  9. 单击确定

执行结果

创建单账号跟踪后,操作事件会以JSON格式保存在OSS Bucket或SLS Logstore中,便于您对操作事件进行查询和分析。您可以在OSS Bucket或SLS Logstore中查看操作日志:

  • OSS Bucket:您可以通过Elastic MapReduce服务或自行授权第三方日志分析服务来分析此操作事件。

    OSS存储路径格式:

    
    oss://<bucket>/<日志文件前缀>/AliyunLogs/Actiontrail/<region>/<年>/<月>/<日>/<日志文件>
  • SLS Logstore:操作审计会自动创建一个名为actiontrail_单账号跟踪名称的Logstore,以及日志的索引和图表。

    更多详细信息,请参见ActionTrail访问日志

    SLS