将事件持续投递到指定服务

操作审计默认为每个阿里云账号记录最近90天的事件。但在日常工作中,企业可能需要保留180天及以上的事件,也可能需要对已有的90天事件进行分析。此时需要将这些事件转存到数据分析服务,或持续采集云上的事件并保存到指定存储服务。这需要依赖操作审计的跟踪功能实现。本文以创建单账号跟踪为例,为您介绍不同场景下通过跟踪投递事件的方法。

前提条件

  • 请确保您已开通对象存储OSS。具体操作,请参见开通OSS服务

  • 请确保您已开通日志服务SLS。

    当您首次使用日志服务SLS时,需要登录日志服务控制台,根据页面提示开通日志服务SLS。

  • 请确保您已开通大数据计算服务MaxCompute。具体操作,请参见开通MaxCompute

使用场景

使用操作审计创建跟踪并投递事件,可以满足您不同场景需求。如果不创建跟踪,您将无法追溯90天以前的事件。具体场景如下:

  • 场景一:将事件保存180天及以上

    操作审计默认记录最近90天的事件,为了满足等保2.0(网络安全等级保护2.0制度)将事件保存180天及以上的要求,您可以创建跟踪持续采集事件并投递到对象存储OSS、日志服务SLS或大数据计算服务MaxCompute。默认情况下,投递到OSS、SLS或MaxCompute的事件会永久保存。如果您需要将事件设置为仅保留180天,请参见OSS修改事件存储时长SLS修改事件存储时长

  • 场景二:对敏感操作进行分析和告警

    当您需要及时感知敏感操作(例如:产生订单、删除资源等)的发生时,您可以创建跟踪将事件投递到日志服务SLS,并在SLS对需要关注的敏感操作设置告警。

  • 场景三:通过MaxCompute分析事件

    当您需要分析事件,而日志服务SLS的分析能力又不能满足您的需求时,您可以使用分析能力更强大的大数据计算服务(MaxCompute)。MaxCompute为您提供多种经典的分布式计算模型,帮助您轻松完成大数据分析。推荐您创建跟踪,将事件投递到日志服务SLS,再通过SLS将数据导出到MaxCompute进行分析。

  • 场景四:低成本分析和永久存储事件

    当您需要同时对事件进行实时分析和永久存储时,需充分了解对象存储OSS、日志服务SLS和大数据计算服务(MaxCompute)的功能特性及收费。三者收费情况为:SLS > MaxCompute > OSS,因此推荐您先将事件投递到日志服务SLS进行分析,手动修改事件在SLS的存储时长(存储时长应该更好地满足实时分析的时间跨度要求),然后定时将SLS中的数据导入到MaxCompute或OSS进行永久存储。

场景一:将事件保存180天及以上

  1. 登录操作审计控制台

  2. 在左侧导航栏,单击跟踪

  3. 在顶部导航栏选择您想创建跟踪的地域。

  4. 跟踪页面,单击创建跟踪

  5. 创建跟踪页面,设置跟踪的相关参数。

    • 基本信息区域,设置日志事件。

      参数

      说明

      跟踪名称

      跟踪的名称。同一阿里云账号中跟踪名称不能重复。

      跟踪配置

      将管控事件设置为所有事件

    • 审计事件投递区域,选择投递方式。

      • 选择将事件投递到日志服务SLS,然后选择投递到本账号

        • 创建新的日志项目:选择日志库所属地域,设置日志项目名称

        • 选择已有的日志项目:选择日志库所属地域日志项目名称

      • 选择将事件投递到对象存储OSS,然后选择投递到本账号

        • 创建新的存储空间:设置存储空间名称日志文件前缀、服务端加密情况和是否开启合规保留。

        • 选择已有的存储空间:选择存储空间名称

      • 选择将事件投递到大数据计算服务MaxCompute,然后选择投递到本账号

        • 设置大数据计算服务地域大数据计算服务项目Quota

  6. 单击确认

    您可以执行以下操作进入存储服务的控制台查看事件。

    • 对象存储OSS:单击存储空间名称进入OSS管理控制台查看事件。

    • 日志服务SLS:单击日志项目名称或日志库名称,进入日志服务控制台查看事件。

    • 大数据计算服务MaxCompute:单击MaxCompute项目名称,进入MaxCompute控制台查看事件。

场景二:对敏感操作进行分析和告警

  1. 登录操作审计控制台

  2. 在左侧导航栏,单击跟踪

  3. 在顶部导航栏选择您想创建跟踪的地域。

  4. 跟踪页面,单击创建跟踪

  5. 创建跟踪页面,设置跟踪的相关参数。

    • 基本信息区域,设置日志事件。

      参数

      说明

      跟踪名称

      跟踪的名称。同一阿里云账号中跟踪名称不能重复。

      跟踪配置

      将管控事件设置为写事件

      说明

      敏感操作多为写事件,管控事件设置为写事件可以减少审计事件数据量,从而节省成本。

    • 审计事件投递区域,选择将事件投递到本账号的日志服务。

      • 创建新的日志项目:选择日志库所属地域,设置日志项目名称

      • 选择已有的日志项目:选择日志库所属地域日志项目名称

  6. 单击确认

    您可以单击日志项目名称或日志库名称,进入日志服务控制台查看事件分析情况。

  7. 在日志服务控制台设置告警。

    具体操作,请参见设置告警

场景三:通过MaxCompute分析事件

  1. 登录操作审计控制台

  2. 在左侧导航栏,单击跟踪

  3. 在顶部导航栏选择您想创建跟踪的地域。

  4. 跟踪页面,单击创建跟踪

  5. 创建跟踪页面,设置跟踪的相关参数。

    • 基本信息区域,设置日志事件。

      参数

      说明

      跟踪名称

      跟踪的名称。同一阿里云账号中跟踪名称不能重复。

      跟踪配置

      将管控事件设置为所有事件

    • 审计事件投递区域,选择将事件投递到本账号的日志服务。

      • 创建新的日志项目:选择日志库所属地域,设置日志项目名称

      • 选择已有的日志项目:选择日志库所属地域日志项目名称

  6. 单击确认

    您可以单击日志项目名称或日志库名称,进入日志服务控制台查看事件分析情况。

  7. 在日志服务控制台将事件投递到MaxCompute。

    具体操作,请参见创建MaxCompute投递任务(新版)

    说明

    事件投递到MaxCompute后,您可以根据需求对事件进行分析。

场景四:低成本分析和永久存储事件

使用操作审计创建跟踪时,如果选择了创建新的日志项目,则默认创建以actiontrail_<trail_name>开头的Logstore,永久保存事件。为了节省成本,推荐您手动修改SLS事件存储时长(例如:180天),再定时将SLS中的数据导入到MaxCompute或OSS进行永久存储。

  1. 在操作审计控制台创建跟踪并将事件投递到日志服务SLS。

    关于如何创建跟踪,请参见创建单账号跟踪

  2. 在日志服务控制台修改日志存储时长。

    1. 登录日志服务控制台

    2. Project列表区域,单击事件对应的Project名称

    3. 单击日志左侧1图标,然后单击2图标。

    4. Logstore属性页面,单击右上角的修改

    5. 数据保存时间修改为限定天数,并设置保存的天数,然后单击页面右上角保存

  3. 在日志服务控制台将事件投递到MaxCompute或OSS。