长期存储完整的事件

操作审计仅默认为每个阿里云账号存储最近90天的事件。如果您需要查询更长时间的操作事件(例如:等保2.0要求将操作事件保存180天及以上),您可以通过创建跟踪和数据回补投递任务,将完整的事件长期存储到SLS中。否则,将无法追溯90天以前的事件。本文为您介绍如何长期存储完整的事件详情。

前提条件

  • 请确保您已开通日志服务SLS。

    当您首次使用日志服务时,需要登录日志服务控制台,根据页面提示开通日志服务。更多信息,请参见什么是日志服务

  • 请确保您已经通过提交工单,获取数据回补投递任务的使用权限。

背景信息

创建跟踪仅能投递跟踪创建时间之后的事件,为了将最近90天的事件进行完整的保存,您还需创建数据回补投递任务,补投递跟踪创建时间往前一段时间的事件。

补投递的历史时间范围的开始时间为当前时间往前90天,结束时间为数据回补投递任务关联的跟踪生效后5分钟。例如:您创建数据回补投递任务时关联跟踪A已经创建了40天,数据回补投递任务将投递跟踪A创建时间往前50天的跟踪历史。

说明
  • 数据回补投递任务仅支持将单账号跟踪的任务投递到日志服务SLS。

  • 一个阿里云账号同时只能存在一个正在运行的投递任务。

步骤一:创建单账号跟踪并将事件投递到日志服务SLS

  1. 登录操作审计控制台

  2. 在左侧导航栏,单击跟踪

  3. 在顶部菜单栏,选择您想创建单账号跟踪的地域。

    说明

    该地域将成为单账号跟踪的Home地域,即创建跟踪的地域。

  4. 跟踪页面,单击创建跟踪

  5. 创建跟踪页面,设置跟踪的相关参数。

    • 基本信息区域,设置跟踪名称和管控事件类型。

      说明

      系统默认将跟踪投递的地域设置为全部地域。推荐您将管控事件设置为所有事件,以便跟踪全部地域的全部事件。关于参数的更多信息,请参见创建单账号跟踪

    • 审计事件投递区域,设置将跟踪投递到本账号的日志服务SLS。

      参数

      描述

      日志库所属地域

      日志项目所在地域。

      日志项目名称

      日志服务SLS中日志项目的名称。

      说明

      日志项目名称为所有阿里云用户共用,不可重复。

      • 当您选中创建新的日志项目时,将通过操作审计控制台新建日志项目,输入日志项目名称。

      • 当您选中选择已有的日志项目时,在日志服务SLS中选择已有日志项目名称。

        关于如何在日志服务SLS中新建日志项目,请参见快速入门

  6. 单击确认

步骤二:创建数据回补投递任务

  1. 在左侧导航栏,单击数据回补

  2. 在顶部菜单栏,选择您需要投递任务的地域。

    说明

    该地域必须与单账号跟踪所在地域相同。

  3. 数据回补页面,单击创建任务

  4. 创建任务页面,选择跟踪。

    说明

    选择跟踪后,系统将自动填入跟踪的地域、日志项目地域、日志项目名称和日志库信息。

  5. 单击确定

    创建任务后,您可以在数据回补页面查看任务的投递状态,确保任务成功投递。

步骤三(可选):查询完整的事件

  1. 在左侧导航栏,单击跟踪

  2. 在顶部菜单栏,选择您单账号跟踪和数据回补投递任务所在的地域。

  3. 跟踪页面,将鼠标悬浮到目标跟踪存储服务列的SLSSLS&OSS上,然后单击SLS日志库名称。

  4. 单击最近15分钟,设置查询的时间范围。

  5. 输入SQL语句,单击查询/分析,查询事件详情。

相关文档