查看Flink审计事件

本文介绍如何通过操作审计(ActionTrail)产品查看Flink审计事件。

背景信息

操作审计(ActionTrail)可以帮助您监控并记录阿里云账号的活动,包括通过阿里云控制台、OpenAPI、开发者工具对云上产品和服务的访问和使用行为。您可以将这些行为事件下载或保存到日志服务SLS或对象存储OSS,然后进行行为分析、安全分析、资源变更行为追踪和行为合规性审计等操作。ActionTrail的详细信息,请参见什么是操作审计

阿里云Flink全托管已经对接阿里云操作审计(ActionTrail),无需付费,您就可以在ActionTrail中获取资源的操作事件和相关信息的场景。

使用限制

  • 只有单账号跟踪的事件可以通过操作审计控制台查询,且每秒最多可以查询两次。多账号跟踪的事件不能通过操作审计控制台查询,只能在对应的SLS Logstore或OSS存储空间中查询。具体操作,请参见查询多账号跟踪的事件

  • 操作审计事件查询功能只能查询当前地域最近90天的事件。

    • 如果需要查询超过90天的事件,您必须创建单账号跟踪并将事件投递到相应的存储服务。否则,将无法追溯90天以前的事件。具体操作,请参见创建单账号跟踪

    • 如果需要同时查询多个地域超过90天的事件,或者使用多个搜索条件过滤查询事件,您可以使用事件高级查询功能。具体操作,请参见自定义查询事件

  • 云上操作后10分钟才可以通过操作审计控制台查询相关事件。

操作步骤

  1. 登录操作审计控制台

  2. 在左侧导航栏,单击事件 > 事件查询

  3. 在顶部导航栏选择您想查询事件的地域。

  4. 事件查询页面输入搜索条件,设置查询的时间范围,然后单击查询按钮图标。

    说明
    • 您可以设置读写类型、操作者名称、云服务名称、事件名称、关联资源类型、关联资源名称、AccessKey ID、是否敏感操作和事件 ID单个搜索条件来过滤查询事件。

    • 您只能在以下地域查询全局事件:

      • 公共云:华东1(杭州)
      • 金融云:华东2 金融云
      • 政务云:华北2 政务云1
  5. 找到待查询的事件,单击对应事件操作列下的查看事件详情

    Flink事件名称含义详情,请参见实时计算Flink版事件列表用户删除部署作业的事件记录示例如下。

    {
      "eventId": "48deee2f-a38b-440b-aae4-168640afd6b8",
      "eventVersion": 1,
      "responseElements": {},
      "errorMessage": "",
      "eventSource": "RealtimeCompute",
      "requestParameters": {},
      "sourceIpAddress": "140.**.**.19",
      "userAgent": "RealtimeCompute",
      "eventRW": "Write",
      "eventType": "ApiCall",
      "referencedResources": {
        "ACS::RealtimeCompute::Deployment": [
          "47eb63e1-79b8-4192-9cd2-059ec5d7****",
          "guiyuan-kafka-writer"
        ]
      },
      "userIdentity": {
        "accessKeyId": "null",
        "sessionContext": {
          "attributes": {
            "mfaAuthenticated": "true",
            "userDisplayName": "25265763711933****",
            "user": "25265763711933****"
          }
        },
        "accountId": "1016954307248737",
        "principalId": "25265763711933****",
        "type": "ram-user",
        "userName": "25265763711933****"
      },
      "serviceName": "RealtimeCompute",
      "additionalEventData": {
        "namespace": "NamespaceRef(name=Optional[daily-instance-not-delete-default])"
      },
      "requestId": "202306021408-LFMZBC059T",
      "eventTime": "2023-06-02T06:08:21Z",
      "isGlobal": false,
      "acsRegion": "cn-beijing",
      "eventName": "DeleteDeployment"
    }

实时计算Flink版事件列表

实时计算Flink版支持在操作审计中查询的事件请参见实时计算Flink版的审计事件