操作审计默认为每个阿里云账号记录最近90天的事件。但在日常工作中,企业可能需要保留180天及以上的事件,也可能需要对已有的90天事件进行分析。此时需要将这些事件转存到数据分析服务,或持续采集云上的事件并保存到指定存储服务。这需要依赖操作审计的跟踪功能实现。本文以创建单账号跟踪为例,为您介绍不同场景下通过跟踪投递事件的方法。
前提条件
请确保您已开通对象存储OSS。具体操作,请参见开通OSS服务。
请确保您已开通日志服务SLS。
当您首次使用日志服务SLS时,需要登录日志服务控制台,根据页面提示开通日志服务SLS。
请确保您已开通大数据计算服务MaxCompute。具体操作,请参见开通MaxCompute。
使用场景
使用操作审计创建跟踪并投递事件,可以满足您不同场景需求。如果不创建跟踪,您将无法追溯90天以前的事件。具体场景如下:
操作审计默认记录最近90天的事件,为了满足等保2.0(网络安全等级保护2.0制度)将事件保存180天及以上的要求,您可以创建跟踪持续采集事件并投递到对象存储OSS、日志服务SLS或大数据计算服务MaxCompute。默认情况下,投递到OSS、SLS或MaxCompute的事件会永久保存。如果您需要将事件设置为仅保留180天,请参见OSS修改事件存储时长或SLS修改事件存储时长。
当您需要及时感知敏感操作(例如:产生订单、删除资源等)的发生时,您可以创建跟踪将事件投递到日志服务SLS,并在SLS对需要关注的敏感操作设置告警。
当您需要分析事件,而日志服务SLS的分析能力又不能满足您的需求时,您可以使用分析能力更强大的大数据计算服务(MaxCompute)。MaxCompute为您提供多种经典的分布式计算模型,帮助您轻松完成大数据分析。推荐您创建跟踪,将事件投递到日志服务SLS,再通过SLS将数据导出到MaxCompute进行分析。
当您需要同时对事件进行实时分析和永久存储时,需充分了解对象存储OSS、日志服务SLS和大数据计算服务(MaxCompute)的功能特性及收费。三者收费情况为:SLS > MaxCompute > OSS,因此推荐您先将事件投递到日志服务SLS进行分析,手动修改事件在SLS的存储时长(存储时长应该更好地满足实时分析的时间跨度要求),然后定时将SLS中的数据导入到MaxCompute或OSS进行永久存储。
场景一:将事件保存180天及以上
登录操作审计控制台。
在左侧导航栏,单击跟踪。
在顶部导航栏选择您想创建跟踪的地域。
在跟踪页面,单击创建跟踪。
在创建跟踪页面,设置跟踪的相关参数。
在基本信息区域,设置日志事件。
参数
说明
跟踪名称
跟踪的名称。同一阿里云账号中跟踪名称不能重复。
跟踪配置
将管控事件设置为所有事件。
在审计事件投递区域,选择投递方式。
选择将事件投递到日志服务SLS,然后选择投递到本账号。
创建新的日志项目:选择日志库所属地域,设置日志项目名称。
选择已有的日志项目:选择日志库所属地域和日志项目名称。
选择将事件投递到对象存储OSS,然后选择投递到本账号。
创建新的存储空间:设置存储空间名称、日志文件前缀、服务端加密情况和是否开启合规保留。
选择已有的存储空间:选择存储空间名称。
选择将事件投递到大数据计算服务MaxCompute,然后选择投递到本账号。
设置大数据计算服务地域和大数据计算服务项目Quota。
单击确认。
您可以执行以下操作进入存储服务的控制台查看事件。
对象存储OSS:单击存储空间名称进入OSS管理控制台查看事件。
日志服务SLS:单击日志项目名称或日志库名称,进入日志服务控制台查看事件。
大数据计算服务MaxCompute:单击MaxCompute项目名称,进入MaxCompute控制台查看事件。
场景二:对敏感操作进行分析和告警
登录操作审计控制台。
在左侧导航栏,单击跟踪。
在顶部导航栏选择您想创建跟踪的地域。
在跟踪页面,单击创建跟踪。
在创建跟踪页面,设置跟踪的相关参数。
在基本信息区域,设置日志事件。
参数
说明
跟踪名称
跟踪的名称。同一阿里云账号中跟踪名称不能重复。
跟踪配置
将管控事件设置为写事件。
说明敏感操作多为写事件,管控事件设置为写事件可以减少审计事件数据量,从而节省成本。
在审计事件投递区域,选择将事件投递到本账号的日志服务。
创建新的日志项目:选择日志库所属地域,设置日志项目名称。
选择已有的日志项目:选择日志库所属地域和日志项目名称。
单击确认。
您可以单击日志项目名称或日志库名称,进入日志服务控制台查看事件分析情况。
在日志服务控制台设置告警。
具体操作,请参见设置告警。
场景三:通过MaxCompute分析事件
登录操作审计控制台。
在左侧导航栏,单击跟踪。
在顶部导航栏选择您想创建跟踪的地域。
在跟踪页面,单击创建跟踪。
在创建跟踪页面,设置跟踪的相关参数。
在基本信息区域,设置日志事件。
参数
说明
跟踪名称
跟踪的名称。同一阿里云账号中跟踪名称不能重复。
跟踪配置
将管控事件设置为所有事件。
在审计事件投递区域,选择将事件投递到本账号的日志服务。
创建新的日志项目:选择日志库所属地域,设置日志项目名称。
选择已有的日志项目:选择日志库所属地域和日志项目名称。
单击确认。
您可以单击日志项目名称或日志库名称,进入日志服务控制台查看事件分析情况。
在日志服务控制台将事件投递到MaxCompute。
具体操作,请参见创建MaxCompute投递任务(新版)。
说明事件投递到MaxCompute后,您可以根据需求对事件进行分析。
场景四:低成本分析和永久存储事件
使用操作审计创建跟踪时,如果选择了创建新的日志项目,则默认创建以actiontrail_<trail_name>
开头的Logstore,永久保存事件。为了节省成本,推荐您手动修改SLS事件存储时长(例如:180天),再定时将SLS中的数据导入到MaxCompute或OSS进行永久存储。