创建单账号跟踪

创建单账号跟踪可以将事件投递到对象存储OSS、日志服务SLS或大数据计算服务MaxCompute,以便对事件进行分析。操作审计默认为每个阿里云账号记录最近90天的事件,如果不创建跟踪,您将无法追溯90天以前的事件。本文为您介绍如何通过操作审计控制台创建单账号跟踪。

背景信息

当您使用阿里云账号投递事件时,将投递阿里云账号和阿里云账号中所有RAM用户相关的事件。当您使用RAM用户投递事件时,需要先授予RAM用户管理单账号跟踪的权限。具体操作,请参见为RAM用户授权

操作审计支持创建多个单账号跟踪。为避免全局事件的重复记录,当您创建单账号跟踪将事件投递到OSS存储空间后,全局事件默认与Home地域(创建跟踪时所选的地域)的事件在同一个目录下。

操作步骤

  1. 登录操作审计控制台

  2. 在左侧导航栏,单击跟踪

  3. 在顶部导航栏选择您想创建单账号跟踪的地域。

    说明

    该地域将成为单账号跟踪的Home地域,即创建跟踪的地域。

  4. 跟踪页面,单击创建跟踪

  5. 创建跟踪页面,设置跟踪的相关参数。

    • 基本信息

      参数

      说明

      跟踪名称

      跟踪的名称,该名称将用于在SLS中对Logstore命名。

      说明

      跟踪名称不可重复。

      跟踪配置

      跟踪投递的事件。取值:

      • 管控事件:系统默认选中管控事件,请选择事件类型。取值:

        • 所有事件:读事件和写事件。审计相关的法规和标准均强调对审计事件的完整记录,建议您选择所有事件

        • 写事件:增加、删除或修改云上资源的事件,例如:CreateInstance (创建一台包年包月或者按量付费的ECS实例)。如果您仅导出事件进行自定义分析,且只关注会影响云资源的事件,则选择写事件

        • 读事件:本身没有在云上增加、删除或修改配置的操作意图,也不会对云上配置造成变更,仅读取云服务资源信息的事件,例如:DescribeInstances(查询一台或多台ECS实例的详细信息)。读事件一般事件量非常大,会占用较多存储空间。但审计相关法规和标准均强调对审计事件的完整记录,所以建议您同时投递读事件,以便完整还原AccessKey的使用历史和资源的访问历史。

      • Insights事件:请根据实际情况选择。选中Insights事件后,管控事件的事件类型会默认选中所有事件,操作审计会基于管控事件识别存在风险的API调用事件、API错误事件、IP请求事件、AccessKey调用事件、权限变更事件、密码变更事件和隐匿行踪事件并生成Insights事件。关于Insights事件的更多信息,请参见Insights事件概览

      说明

      当您通过操作审计控制台创建跟踪时,默认将跟踪投递的地域设置为全部地域。如果需要创建部分地域的跟踪,请调用创建跟踪接口设置TrailRegion参数。

    • 审计事件投递

      您可以将跟踪分别投递到日志服务SLS、对象存储OSS或大数据计算服务MaxCompute,或者同时进行投递。关于如何选择存储服务,请参见将事件持续投递到指定服务

      说明

      目前投递的事件范围,是单账号跟踪生效后产生的新事件,不包括原有的最近90天事件。您可以创建数据回补投递任务,将最近90天的事件一次性补投递到您跟踪指定的地址,最大限度、最大范围满足您的需求。具体操作,请参见创建数据回补投递任务

      • 选择将事件投递到日志服务SLS

        • 选择投递到本账号,设置如下参数。

          参数

          描述

          日志项目

          选择事件投递到日志服务SLS的日志项目方式。

          • 创建新的日志项目

          • 选择已有的日志项目

          日志库所属地域

          日志项目所在地域。

          日志项目名称

          日志服务SLS中日志项目的名称。

          说明

          日志项目名称为所有阿里云用户共用,不可重复。

          • 当您选中创建新的日志项目时,将通过操作审计控制台新建日志项目,输入日志项目名称。

          • 当您选中选择已有的日志项目时,在日志服务SLS中选择已有日志项目名称。

            关于如何在日志服务SLS中新建日志项目,请参见快速入门

            说明

            投递成功后操作审计会自动创建一个名为actiontrail_<跟踪名称>的日志库(Logstore),该Logstore会自动帮您设置审计最佳配置,创建查询所需索引和仪表盘,并禁止用户写入,保证审计数据的准确性。您无需提前创建Logstore。

        • 选择投递到其他账号,设置日志项目ARN日志写入角色ARN

          选择投递到其他账号时需要先在目标账号中创建RAM角色,授予操作审计服务向目标账号投递事件的权限,并提前创建日志项目。具体操作,请参见将多个阿里云账号的事件投递到同一账号

      • 选择将事件投递到对象存储OSS

        • 选择投递到本账号,设置如下参数。

          参数

          描述

          存储空间

          选择事件投递到对象存储OSS的存储空间方式。

          • 创建新的存储空间

          • 选择已有的存储空间

          存储空间名称

          对象存储OSS中存储空间的名称。同一账号下,存储空间名称不能重复。

          • 当您选中创建新的存储空间时,通过操作审计控制台新建存储空间,输入存储空间名称。

          • 当您选中选择已有的存储空间时,在对象存储OSS中选择已有存储空间名称。

            关于如何在对象存储OSS中创建存储空间,请参见创建存储空间

          日志文件前缀

          事件存放的日志文件前缀,方便后续查找事件。

          开启服务端加密

          存储空间中的日志文件是否加密。当您选中创建新的存储空间时,需要设置该参数。取值:

          • OSS完全托管:使用OSS托管的密钥进行加密。OSS会为每个Object使用不同的密钥进行加密,作为额外的保护,OSS会使用定期轮转的主密钥对加密密钥本身进行加密。

          • KMS:使用密钥管理KMS进行加密。使用KMS加密方式前,需要开通KMS服务。具体步骤,请参见购买和启用KMS实例

          • 不开启:不启用服务器端加密。

          开启合规保留

          对象存储OSS支持WORM特性,您可以在合规保留策略的保留周期内以“不可删除、不可篡改”的方式保存和使用OSS数据。取值:

          • 不开启(默认值)

          • 开启

        • 选择投递到其他账号,设置存储空间角色ARN存储空间名称日志文件前缀

          选择投递到其他账号时需要先在目标账号中创建RAM角色,授予操作审计服务向目标账号投递事件的权限,并提前创建OSS存储空间。具体操作,请参见将多个阿里云账号的事件投递到同一账号

      • 选择将事件投递到大数据计算服务MaxCompute

        • 选择投递到本账号,设置如下参数。

          参数

          描述

          大数据计算服务地域

          投递数据的大数据计算服务项目所在地域。

          说明

          操作审计会将审计日志投递至大数据计算服务指定地域下的actiontrail_<阿里云账号ID> 项目中。因大数据计算服务项目名称账号唯一,若账号下已有actiontrail_<阿里云账号ID> 的项目,将默认投递至已有项目下。

          大数据计算服务项目Quota

          大数据计算服务的配额

          说明

          创建跟踪首次投递到大数据计算服务时,需要选择大数据计算服务的配额,若当前地域下无可选配额,请选择其他大数据计算服务地域。

        • 选择投递到其他账号,设置大数据计算服务ARN大数据计算服务写入角色ARN

          选择投递到其他账号时需要先在目标账号中创建RAM角色,授予操作审计服务向目标账号投递事件的权限,并提前创建大数据计算服务项目。具体操作,请参见将多个阿里云账号的事件投递到同一账号

  6. 单击确认

执行结果

创建单账号跟踪后,事件会以JSON格式保存在SLS Logstore、OSS存储空间或大数据计算服务MaxCompute数据表中,便于您对事件进行查询和分析。您可以在日志服务SLS、对象存储OSS或大数据计算服务MaxCompute中查看事件:

  • 日志服务SLS:操作审计会自动创建一个名为actiontrail_<跟踪名称>的日志库(Logstore)。您可以在跟踪页面将鼠标悬浮到跟踪对应存储服务列的内容上,然后单击SLS日志库名称。

  • 对象存储OSS:您可以通过Elastic MapReduce服务或自行授予第三方日志分析服务分析此事件的权限。

    您也可以在跟踪页面将鼠标悬浮到跟踪对应存储服务列的内容上,然后单击OSS Bucket名称,最后选择文件管理 > 文件列表。关于OSS存储路径的更多信息,请参见事件投递到OSS存储空间后,存储路径是怎样的?

  • 大数据计算服务MaxCompute:操作审计会自动创建一个名为actiontrail_<跟踪名称>的数据表(Table)。您可以在跟踪页面将鼠标悬浮到跟踪对应存储服务列的内容上,然后单击MaxCompute项目名称。通过使用DataWorks连接的方式查询大数据计算服务项目中actiontrail_<跟踪名称>表格存储的日志数据。

相关文档