跟踪是一种重要的配置机制,您可以使用跟踪功能,将云服务中发生的事件保存到指定的OSS存储空间或SLS Logstore中,以便后期分析和长期存储。操作审计仅默认为每个阿里云账号记录最近90天的事件,您必须创建跟踪才能记录更长时间的事件,否则将无法追溯90天以前的事件。本文为您介绍跟踪的工作原理、使用场景等内容。
工作原理
跟踪的工作原理如下图所示。
使用场景
在阿里云操作审计服务(ActionTrail)中,跟踪(Trail)是个非常推荐的功能,您可以通过跟踪中心化收集更长时间的审计日志后,用于安全监控、合规审计、故障诊断、资源变更追踪等多个领域。以下是跟踪收集到审计日志后一些具体的使用场景:
安全监控与保障
可疑活动检测:通过监控非典型的API调用或来自异常地理位置的请求,可以检测潜在的安全威胁或未授权的活动。
用户行为分析:审计日志中的跟踪数据可以用来分析用户的行为模式,并发现任何不符合正常使用模式的操作。
权限变更跟踪:使用多账号跟踪,监控对RAM策略和用户权限的变更,以确保只有授权用户才能进行关键操作。
合规审计
操作记录保存:为了满足法律法规要求,企业可能需要长期保存他们的操作记录。多账号跟踪可以将操作日志存储在OSS中以供未来审查。
合规报告:利用跟踪数据生成合规报告,展示企业遵循特定的安全标准和政策。
资源变更管理
资源生命周期管理:通过跟踪资源的创建、修改和删除事件,可以管理整个资源的生命周期。
环境状态变更审计:在多人合作的环境中,可以通过多账号跟踪记录谁在何时对环境做了什么更改,以确保环境的稳定性。
故障诊断与运维
服务故障分析:在出现服务中断或性能下降时,可以使用跟踪日志来分析事件前后的操作,以帮助确定故障原因。
配置变更追踪:记录对云资源配置的所有更改,帮助识别可能导致服务中断的配置错误。
基本概念
概念 | 说明 |
跟踪 | 跟踪是一种配置,用于将事件保存到指定的OSS存储空间或SLS Logstore,以便进一步分析和存储。根据创建者、作用范围和投递内容的不同,分为单账号跟踪、多账号跟踪和平台事件跟踪。 |
单账号跟踪 | 个人用户需要将操作审计事件投递到日志服务SLS或对象存储OSS时,可以创建单账号跟踪。 通过创建多个单账号跟踪,可以实现以下需求:
关于单账号跟踪的更多信息,请参见单账号跟踪概览。 |
多账号跟踪 | 企业用户(开通了资源目录的企业)需要将资源目录内的所有成员的操作审计事件投递到日志服务SLS或对象存储OSS时,可以创建多账号跟踪。 关于多账号跟踪的更多信息,请参见多账号跟踪概览。 |
平台事件跟踪 | 个人用户需要将阿里云运维团队针对用户服务的维护操作所产生的事件投递到日志服务SLS时,可以创建平台事件跟踪。 关于平台事件跟踪的更多信息,请参见平台操作审计概览。 |
管理账号 | 管理账号是资源目录的超级管理员,也是开通资源目录的初始账号,对其创建的资源目录和成员拥有完全控制权限。只有通过企业实名认证的阿里云账号才能开通资源目录,每个资源目录有且只有一个管理账号。 |
成员 | 在资源目录内,成员作为资源容器,是一种资源分组单位。成员通常用于指代一个项目或应用,每个成员中的资源相对其他成员中的资源是物理隔离的。您可以通过管理账号授予RAM用户、RAM用户组或RAM角色对成员内资源的访问权限。 成员被管理账号邀请进入资源目录,或由管理账号在资源目录内直接创建。 |
委派管理员账号 | 资源目录的管理账号可以将资源目录中的成员设置为可信服务的委派管理员账号。设置成功后,委派管理员账号将获得管理账号的授权,可以在对应可信服务中访问资源目录组织和成员信息,并在该组织范围内进行业务管理。 关于委派管理员账号的更多信息,请参见管理委派管理员账号。 |
多账号跟踪和单账号跟踪的区别
跟踪类型 | 创建账号 | 投递事件范围 | 事件查询方式 | 创建的最大跟踪数目 | 创建方式 |
单账号跟踪 | 阿里云账号 | 阿里云账号下的事件 |
| 每个地域5个 | |
多账号跟踪 | 委派管理员账号(或者管理账号) | 所有成员的事件 | 委派管理员账号(或者管理账号):
| 所有地域1个 |