通过创建平台操作审计(Inner-ActionTrail)的跟踪,操作审计会将平台操作事件投递到指定的日志服务,实现对平台操作的审计和监控,以便您分析平台操作事件。本文为您介绍如何创建、更新、删除及关闭平台操作审计的跟踪。
前提条件
请确保您已开通平台操作审计(Inner-ActionTrail)。具体操作,请参见开通平台操作审计。
创建跟踪
登录操作审计控制台。
在左侧导航栏,选择。
在跟踪基本属性页面,设置跟踪名称,单击下一步。
在审计事件投递页面,勾选将事件投递到日志服务SLS,选择日志项目,单击下一步。
创建新的日志项目:选择日志库所属地域,设置日志项目名称。
选择已有的日志项目:选择日志库所属地域和日志项目名称。
在预览并创建页面,确认跟踪信息,单击提交。
执行结果
操作审计会自动创建一个名为innertrail_<跟踪名称>的Logstore,以及平台操作事件的索引和图表。您可以在跟踪页面单击跟踪对应日志服务列的日志分析分析操作事件,单击日志报表查看操作事件的分布图表。
平台操作事件字段含义,请参见平台操作事件结构定义。
更新跟踪
登录操作审计控制台。
在左侧导航栏,选择。
找到需要更新的跟踪,单击跟踪名称。
单击页面右上角
图标。在跟踪基本属性页面,设置跟踪名称,单击下一步。
在审计事件投递页面,勾选将事件投递到日志服务SLS,选择日志项目,单击下一步。
创建新的日志项目:选择日志库所属地域,设置日志项目名称。
选择已有的日志项目:选择日志库所属地域和日志项目名称。
在预览并创建页面,确认更新后的跟踪信息,单击提交。
删除跟踪
登录操作审计控制台。
在左侧导航栏,选择。
找到需要删除的跟踪,单击右侧操作列中的删除。
在弹出的删除跟踪对话框,单击确认。
说明已经投递到SLS Logstore中的平台操作事件将不会被删除。
关闭跟踪
关闭后,操作审计会停止将平台操作事件投递到指定的地址,但会保留已有参数配置。
登录操作审计控制台。
在左侧导航栏,选择。
在跟踪页面,单击跟踪名称。
关闭跟踪状态开关。
在弹出的关闭跟踪对话框,单击确定。
说明再次单击开关可以开启跟踪状态。
相关文档
当您将平台操作事件投递到日志服务后,您可以执行查询分析、下载、投递、加工日志及创建告警等操作,具体操作,请参见云产品日志通用操作。