目前,阿里云操作审计已经与日志服务打通,操作审计收集到的操作日志数据会实时投递到日志服务中。本文档为您介绍操作审计日志的日志字段及采集步骤。

前提条件

  1. 开通日志服务。
  2. 开通操作审计服务

配置步骤

  1. 登录ActionTrail控制台。
  2. 单击左侧导航栏的跟踪列表,进入跟踪列表界面。
  3. 单击右上角的创建跟踪,进入创建跟踪配置页面。
  4. 填写跟踪配置。
    1. 填写跟踪名称
    2. 将审计事件投递到OSS Bucket(可选)。

      详细信息请参考创建跟踪

    3. 选择日志服务Project区域
    4. 填写日志服务Project名称

      此处填写的Project为存储操作审计日志的Project。您可以填写已选择的地域下的Project,或者输入一个新的Project名称,将日志投递到新的Project中。

    5. 开启日志记录
      单击开启 日志记录功能。开启功能后,您的ActionTrail记录的云资源操作日志会实时投递到日志服务。
      图 1. 填写跟踪配置


  5. 单击提交,结束配置。
    至此,您已成功新建了跟踪任务,在 跟踪列表可以查看已创建的跟踪信息。
    说明 如果您是第一次配置ActionTrail日志采集,请根据页面提示进行授权。授权后ActionTrail有权限将ActionTrail日志分发到您的Logstore中。请在授权完成后再次单击 提交,结束配置。
    图 2. 跟踪列表


限制与说明

  • 一个账户只能创建一个跟踪。

    跟踪是您将审计事件投递到OSS Bucket或日志服务Logstore中的任务,当前一个账户在所有区域内仅支持配置一个跟踪,这个跟踪中可以将所有区域内的审计事件同时投递到OSS和Logstore,或二者之一。

  • 如果已创建追踪,只能在创建时所在区域对这个追踪进行操作。

    如果您已经创建了一个追踪,后续只能在创建追踪时所在的区域下查看跟踪、修改跟踪或删除跟踪。例如您需要配置日志服务跟踪,但已创建了一个OSS跟踪,请修改已创建的OSS追踪,在该追踪中添加日志服务配置即可。

  • 专属日志库不支持写入其他数据

    专属日志库用于存入ActionTrail的云产品操作日志,因此不支持写入其他数据。其他查询、统计、报警、流式消费等功能没有限制。

  • 按量计费

    ActionTrail日志采集功能按照日志服务的收费项进行计费。日志服务为按量计费模式,并提供一定的免费额度。详细计费说明请参考计费方式

查询分析

完成跟踪配置后,您可以在 跟踪列表界面单击 日志服务列下的 日志分析日志报表,对采集到的日志数据进行实时查询分析。
  • 日志分析:进入日志查询分析界面。

    日志服务提供查询与分析功能,您可以在该页面对采集到的ActionTrail日志数据进行实时查询与分析。

    日志服务定义了一系列查询语法和分析语法,支持多种复杂场景下的日志查询。查询与分析语法请参考查询语法分析语法

    另外,您还可以在查询界面将当前查询条件另存为快速查询和告警,定时监控重要日志数据,在异常情况时发送告警通知。详细步骤请参考设置告警

  • 日志报表:进入仪表盘界面。

    日志服务为您内置了ActionTrail专属仪表盘,为您全方位展示事件类型和事件来源分布等实时动态。

    您也可以修改专属仪表盘、创建自定义仪表盘,为您的仪表盘添加多种场景下的自定义分析图表。关于仪表盘的更多信息,请参考创建和删除仪表盘

默认配置

完成配置后,日志服务会为您创建专属Project和专属Logstore,ActionTrail的云资源操作日志会实时投递至该Logstore中。另外,日志服务同时为您创建了1个仪表盘,您可以实时查看云资源操作动态。专属日志库和专属Logstore等默认配置请参见下表。

表 1. 默认配置
默认配置项 配置内容
Project 您在创建跟踪时选择或自定义的Project。
Logstore 默认为您创建Logstore。Logstore名称为actiontrail_跟踪名称

ActionTrail的所有日志都会保存在这个Logstore中。

地域 您在创建跟踪时选择的地域。
Shard 默认为您创建2个Shard,并开启自动分裂Shard功能。
日志存储时间 默认永久保存。

若您需要修改日志存储时间,可以自定义修改为1~3000天。详细步骤请参考操作Logstore

仪表盘 默认为您创建一个仪表盘:
  • 中文环境:actiontrail_跟踪名称_audit_center_cn
  • 英文环境:actiontrail_跟踪名称_audit_center_en

日志字段

字段名 名称 例子
__topic__ 日志主题。 固定为actiontrail_audit_event
event 事件主体,JSON格式。事件主体的内容随事件变化。 event示例
event.eventId 事件的ID,唯一标示这次事件的ID。 07F1234-3E1D-4BFF-AC6C-12345678
event.eventName 事件名称。 CreateVSwitch
event.eventSource 事件来源。 http://account.aliyun.com:443/login/login_aliyun.htm
event.eventType 事件类型。 ApiCall
event.eventVersion ActionTrail的数据格式版本,目前固定为1。 1
event.acsRegion 事件所在的区域。 cn-hangzhou
event.requestId 操作云服务的请求ID。 07F1234-3E1D-4BFF-AC6C-12345678
event.apiVersion 相关API的版本。 2017-12-04
event.errorMessage 事件失败的错误信息。 unknown confidential
event.serviceName 事件相关服务名称。 Ecs
event.sourceIpAddress 事件相关的源IP。 1.2.3.4
event.userAgent 事件相关的客户端Agent。 Mozilla/5.0 (...)
event.requestParameters.HostId 请求相关参数中的主机ID。 ecs.cn-hangzhou.aliyuncs.com
event.requestParameters.Name 请求相关参数中的名称。 ecs-test
event.requestParameters.Region 请求相关参数中的域。 cn-hangzhou
event.userIdentity.accessKeyId 请求所使用的AccessKey ID。 25************
event.userIdentity.accountId 请求相关账户的ID。 123456
event.userIdentity.principalId 请求相关账户的凭证ID。 123456
event.userIdentity.type 请求相关账户的类型。 root-account
event.userIdentity.userName 请求相关账户的类型。 root

event示例

{
  "acsRegion": "cn-hangzhou",
  "additionalEventData": {
    "isMFAChecked": "false",
    "loginAccount": "test1234@aliyun.com"
  },
  "eventId": "7be1e173-1234-44a1-b135-1234",
  "eventName": "ConsoleSignin",
  "eventSource": "http://account.aliyun.com:443/login/login_aliyun.htm",
  "eventTime": "2018-07-12T06:14:50Z",
  "eventType": "ConsoleSignin",
  "eventVersion": "1",
  "requestId": "7be1e173-1234-44a1-b135-1234",
  "serviceName": "AasCustomer",
  "sourceIpAddress": "42.120.75.137",
  "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36",
  "userIdentity": {
    "accessKeyId": "25****************",
    "accountId": "1234",
    "principalId": "1234",
    "type": "root-account",
    "userName": "root"
  }
}