目前,阿里云操作审计已经与日志服务打通,操作审计收集到的操作日志数据会实时投递到日志服务中。本文档为您介绍操作审计日志的日志字段及采集步骤。
前提条件
- 开通日志服务。
- 开通操作审计服务。
配置步骤
- 登录ActionTrail控制台。
- 单击左侧导航栏的跟踪列表,进入跟踪列表界面。
- 单击右上角的创建跟踪,进入创建跟踪配置页面。
- 填写跟踪配置。
- 填写跟踪名称。
- 将审计事件投递到OSS Bucket(可选)。
详细信息请参考创建跟踪。
- 选择日志服务Project区域。
- 填写日志服务Project名称。
此处填写的Project为存储操作审计日志的Project。您可以填写已选择的地域下的Project,或者输入一个新的Project名称,将日志投递到新的Project中。
- 开启日志记录。
单击开启 日志记录功能。开启功能后,您的ActionTrail记录的云资源操作日志会实时投递到日志服务。
图 1. 填写跟踪配置
- 单击提交,结束配置。
至此,您已成功新建了跟踪任务,在 跟踪列表可以查看已创建的跟踪信息。说明 如果您是第一次配置ActionTrail日志采集,请根据页面提示进行授权。授权后ActionTrail有权限将ActionTrail日志分发到您的Logstore中。请在授权完成后再次单击 提交,结束配置。
图 2. 跟踪列表
限制与说明
- 一个账户只能创建一个跟踪。
跟踪是您将审计事件投递到OSS Bucket或日志服务Logstore中的任务,当前一个账户在所有区域内仅支持配置一个跟踪,这个跟踪中可以将所有区域内的审计事件同时投递到OSS和Logstore,或二者之一。
- 如果已创建追踪,只能在创建时所在区域对这个追踪进行操作。
如果您已经创建了一个追踪,后续只能在创建追踪时所在的区域下查看跟踪、修改跟踪或删除跟踪。例如您需要配置日志服务跟踪,但已创建了一个OSS跟踪,请修改已创建的OSS追踪,在该追踪中添加日志服务配置即可。
- 专属日志库不支持写入其他数据。
专属日志库用于存入ActionTrail的云产品操作日志,因此不支持写入其他数据。其他查询、统计、报警、流式消费等功能没有限制。
- 按量计费。
ActionTrail日志采集功能按照日志服务的收费项进行计费。日志服务为按量计费模式,并提供一定的免费额度。详细计费说明请参考计费方式。
查询分析
- 日志分析:进入日志查询分析界面。
日志服务提供查询与分析功能,您可以在该页面对采集到的ActionTrail日志数据进行实时查询与分析。
日志服务定义了一系列查询语法和分析语法,支持多种复杂场景下的日志查询。查询与分析语法请参考查询语法和分析语法。
另外,您还可以在查询界面将当前查询条件另存为快速查询和告警,定时监控重要日志数据,在异常情况时发送告警通知。详细步骤请参考设置告警。
- 日志报表:进入仪表盘界面。
日志服务为您内置了ActionTrail专属仪表盘,为您全方位展示事件类型和事件来源分布等实时动态。
您也可以修改专属仪表盘、创建自定义仪表盘,为您的仪表盘添加多种场景下的自定义分析图表。关于仪表盘的更多信息,请参考创建和删除仪表盘。
默认配置
完成配置后,日志服务会为您创建专属Project和专属Logstore,ActionTrail的云资源操作日志会实时投递至该Logstore中。另外,日志服务同时为您创建了1个仪表盘,您可以实时查看云资源操作动态。专属日志库和专属Logstore等默认配置请参见下表。
| 默认配置项 | 配置内容 |
|---|---|
| Project | 您在创建跟踪时选择或自定义的Project。 |
| Logstore | 默认为您创建Logstore。Logstore名称为actiontrail_跟踪名称。 ActionTrail的所有日志都会保存在这个Logstore中。 |
| 地域 | 您在创建跟踪时选择的地域。 |
| Shard | 默认为您创建2个Shard,并开启自动分裂Shard功能。 |
| 日志存储时间 | 默认永久保存。 若您需要修改日志存储时间,可以自定义修改为1~3000天。详细步骤请参考操作Logstore。 |
| 仪表盘 | 默认为您创建一个仪表盘:
|
日志字段
| 字段名 | 名称 | 例子 |
|---|---|---|
| __topic__ | 日志主题。 | 固定为actiontrail_audit_event |
| event | 事件主体,JSON格式。事件主体的内容随事件变化。 | event示例 |
| event.eventId | 事件的ID,唯一标示这次事件的ID。 | 07F1234-3E1D-4BFF-AC6C-12345678 |
| event.eventName | 事件名称。 | CreateVSwitch |
| event.eventSource | 事件来源。 | http://account.aliyun.com:443/login/login_aliyun.htm |
| event.eventType | 事件类型。 | ApiCall |
| event.eventVersion | ActionTrail的数据格式版本,目前固定为1。 | 1 |
| event.acsRegion | 事件所在的区域。 | cn-hangzhou |
| event.requestId | 操作云服务的请求ID。 | 07F1234-3E1D-4BFF-AC6C-12345678 |
| event.apiVersion | 相关API的版本。 | 2017-12-04 |
| event.errorMessage | 事件失败的错误信息。 | unknown confidential |
| event.serviceName | 事件相关服务名称。 | Ecs |
| event.sourceIpAddress | 事件相关的源IP。 | 1.2.3.4 |
| event.userAgent | 事件相关的客户端Agent。 | Mozilla/5.0 (...) |
| event.requestParameters.HostId | 请求相关参数中的主机ID。 | ecs.cn-hangzhou.aliyuncs.com |
| event.requestParameters.Name | 请求相关参数中的名称。 | ecs-test |
| event.requestParameters.Region | 请求相关参数中的域。 | cn-hangzhou |
| event.userIdentity.accessKeyId | 请求所使用的AccessKey ID。 | 25************ |
| event.userIdentity.accountId | 请求相关账户的ID。 | 123456 |
| event.userIdentity.principalId | 请求相关账户的凭证ID。 | 123456 |
| event.userIdentity.type | 请求相关账户的类型。 | root-account |
| event.userIdentity.userName | 请求相关账户的类型。 | root |
event示例
{
"acsRegion": "cn-hangzhou",
"additionalEventData": {
"isMFAChecked": "false",
"loginAccount": "test1234@aliyun.com"
},
"eventId": "7be1e173-1234-44a1-b135-1234",
"eventName": "ConsoleSignin",
"eventSource": "http://account.aliyun.com:443/login/login_aliyun.htm",
"eventTime": "2018-07-12T06:14:50Z",
"eventType": "ConsoleSignin",
"eventVersion": "1",
"requestId": "7be1e173-1234-44a1-b135-1234",
"serviceName": "AasCustomer",
"sourceIpAddress": "42.120.75.137",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36",
"userIdentity": {
"accessKeyId": "25****************",
"accountId": "1234",
"principalId": "1234",
"type": "root-account",
"userName": "root"
}
}
在文档使用中是否遇到以下问题
更多建议
匿名提交