通过操作审计服务查询实例创建和删除信息

通过操作审计的事件查询功能,您可以按照事件类型(例如创建实例、删除实例等)、资源名称(ECI实例ID)等条件查询关于ECI实例的操作事件。本文介绍如何通过操作审计服务查询ECI实例的创建、删除等信息。

背景信息

操作审计(ActionTrail)是阿里云提供的云账号资源操作记录的查询和投递服务,可用于安全分析、资源变更追踪以及合规性审计等场景。更多信息,请参见什么是操作审计

操作步骤

  1. 登录操作审计控制台

  2. 在左侧导航栏,选择事件 > 事件查询

  3. 在顶部菜单栏,选择地域。

  4. 设置查询条件,查询操作事件。

    例如,如果您想要了解某个ECI实例创建和删除的具体时间,可按如下条件查询关于该实例的所有操作事件。

    1. 查询类型选择关联资源名称,然后输入ECI实例ID。

      说明

      您可以至弹性容器实例控制台容器组页面获取实例ID。对于已经删除的ECI实例,如果您不知道实例ID,可先按事件名称查询ECI实例删除事件(DeleteContainerGroup),然后在查询结果的资源名称列获取ECI实例ID。

    2. 根据ECI实例存在的时间段,设置查询时间范围。

      说明

      事件查询功能支持查询90天内的操作事件。如果您想要查询90天以上的操作事件,可使用事件高级查询功能。更多信息,请参见高级查询事件

    事件查询

  5. 查看事件信息。

    事件相关说明如下:

    • 每条事件默认显示以下信息:

      • 事件发生时间:该操作发生的时间。

      • 操作者名称:发起该操作的对象,可以是阿里云账号、RAM用户或者阿里云服务。

      • 云服务名称:阿里云服务名称。

      • 事件名称:对应操作行为,例如:CreateContainerGroup表示创建ECI实例,DeleteContainerGroup表示删除ECI实例。

      • 关联资源:被操作资源信息。

    • 单击查看事件详情可以查看更多事件信息,包括事件源、错误码、API请求ID、事件记录等。如

    说明

    关于事件中各字段的更多信息,请参见管控事件结构定义