通过操作审计查询行为事件日志

DataWorks已集成至操作审计(ActionTrail),您可在ActionTrail中查看及检索阿里云账号最近90天的DataWorks行为事件日志。后续可通过ActionTrail将事件日志投递至日志服务LogStore或指定的OSS Bucket中,实现对事件的监控和告警,满足及时审计、问题回溯分析等需求。本文为您介绍如何在ActionTrail中查询DataWorks的行为事件日志。

背景信息

操作审计(ActionTrail)是阿里云提供的云账号资源操作记录的查询和投递服务,帮助您监控并记录包括通过阿里云控制台、OpenAPI、开发者工具对云上产品和服务的访问和使用行为。您可以将这些行为事件下载或保存到日志服务LogStore或OSS存储空间,然后进行行为分析、安全分析、资源变更行为追踪和行为合规性审计等操作。详情请参见操作审计

注意事项

您可以为重要事件配置跟踪告警,以便及时发现并处理异常行为。

查询DataWorks行为事件日志

  1. 登录ActionTrail管理控制台

  2. 在左侧导航栏单击事件 > 事件查询,并选择相应地域。

  3. 事件查询页面的下拉列表,选择云服务名称DataWorks,查看已进行操作审计的DataWorks事件列表。选择DataWorks服务名称。

    该列表为您展示了事件的发生时间、相关资源、操作等基本信息,DataWorks当前支持的操作审计事件列表,请参见DataWorks的审计事件

    您可通过事件名称区分目标事件是否为OpenAPI类行为调用事件,并查询事件含义。具体如下:

    说明

    OpenAPI类行为调用事件包括涉及调用OpenAPI的页面操作事件以及通过程序代码调用OpenAPI的事件。

    • OpenAPI类行为调用事件:该类事件的事件名称与OpenAPI的名称一一对应,可使用事件名称OpenAPI列表进行搜索,查询事件含义。

    • 非OpenAPI类行为调用事件:可通过下表查询事件含义。

      事件名称

      事件含义

      服务模块

      DIDeleteDatasource

      租户删除数据源

      租户

      DIBatchDeleteDatasource

      租户批量删除数据源

      DICloneDatasource

      租户克隆数据源

      DownloadExecutionResult

      下载查询结果

      数据开发

      CreateBusiness

      创建业务流程

      DestroyRelationTableFromBusiness

      删除业务流程中的所有表

      DeleteBusiness

      删除业务流程

      ExecuteFile

      将文件作为临时任务执行

      LockFile

      偷锁编辑

      DICreateDatasource

      数据集成新增数据源

      数据集成

      DIBatchCreateDatasource

      数据集成批量新增数据源

      DIUpdateDatasource

      数据集成修改数据源

      DITestDatasourceConnection

      数据集成数据源连通性测试

      DIManageDatasourcePermission

      数据集成数据源权限管理

      DICreateTableByDDL

      DataStudio数据集成一键生成目标表结构

      DIPreviewData

      DataStudio数据集成预览离线任务

      DIUpdateDataxJob

      DataStudio数据集成更新离线任务

      DIUpdateStreamxJob

      DataStudio数据集成更新实时任务

      DIRunStreamxJob

      运维中心数据集成启动实时任务

      DIBatchRunStreamxJob

      运维中心数据集成批量启动实时任务

      DIStopStreamxJob

      运维中心数据集成停止实时任务

      DIBatchStopStreamxJob

      运维中心数据集成批量停止实时任务

      DIOfflineStreamxJob

      运维中心数据集成下线实时任务

      DIBatchOfflineStreamxJob

      运维中心数据集成批量下线实时任务

      DIUpdateStreamxJobOwner

      运维中心数据集成修改责任人

      DICreateAlarmRule

      运维中心数据集成新增告警规则

      DIBatchCreateAlarmRule

      运维中心数据集成批量新增告警规则

      DISimulateAlarm

      运维中心数据集成模拟测试告警

      DIStopAlarmRule

      运维中心数据集成暂停告警规则

      DIBatchStopAlarmRule

      运维中心数据集成批量暂停告警规则

      DIStartAlarmRule

      运维中心数据集成启动告警规则

      DIBatchStartAlarmRule

      运维中心数据集成批量启动告警规则

      DIDeleteAlarmRule

      运维中心数据集成删除告警规则

      DIBatchDeleteAlarmRule

      运维中心数据集成批量删除告警规则

      DIUpdateAlarmRule

      运维中心数据集成修改告警规则

      DISaveSolution

      数据集成主站新建或修改保存解决方案

      DIDeleteSolution

      数据集成主站删除解决方案

      DIStartSolution

      数据集成主站执行解决方案(启动/重跑/应用更新)

      DIStopSolution

      数据集成主站停止解决方案

      DICloneSolution

      数据集成主站克隆解决方案

      DICreateSolutionAlarmRule

      解决方案报警配置-新增报警

      DISimulateSolutionAlarmRule

      解决方案报警配置-模拟测试告警

      DIDeleteSolutionAlarmRule

      解决方案报警配置-删除告警规则

      DIUpdateSolutionAlarmRule

      解决方案报警配置-更新告警规则(配置/暂停/启动)

      DISaveSolutionV1

      旧版解决方案新建或修改保存解决方案

      DIDeleteSolutionV1

      旧版解决方案删除解决方案

      DIStartSolutionV1

      旧版解决方案运行解决方案(提交执行/重跑)

      DICloneSolutionV1

      旧版解决方案克隆

      DIFullSupplementData

      旧版解决方案全量补数据

      DownloadSqlResult

      下载数据分析的SQL查询结果

      数据分析

      DownloadSheet

      下载数据分析电子表格

      RunTask

      运行数据分析中的SQL查询命令

  4. 查看事件详情。

    单击目标事件的查看事件详情,即可查看事件的事件源、事件记录、相关资源等详细信息。事件代码记录

后续步骤

您可以通过查询到的事件日志进行行为分析、安全分析、资源变更行为追踪和行为合规性审计等操作。