操作审计(ActionTrail)功能允许您追踪和记录阿里云账号在最近90天内的操作事件。当您需要分析更长时间的操作事件时,可以通过操作审计创建跟踪,将操作事件数据投递至MaxCompute,并对其进行查询和分析。本文为您介绍如何通过创建跟踪将操作审计事件数据投递至MaxCompute。
前提条件
已开通MaxCompute和DataWorks服务。详情请参见开通MaxCompute和DataWorks。
当您使用RAM用户投递操作审计事件时,需要先授予RAM用户管理单账号跟踪的权限。详情请参见为RAM用户授权。
操作步骤
登录操作审计控制台,在左侧导航栏,单击跟踪。
说明跟踪是一种操作审计事件投递配置,根据创建者、作用范围和投递内容的不同,分为单账号跟踪、多账号跟踪和平台事件跟踪。详情请参见跟踪概览。
在顶部导航栏选择您想创建单账号跟踪的地域,单击创建跟踪,完成以下参数配置。
基本信息区域:自定义填写跟踪名称并选择跟踪配置,详情请参见创建单账号跟踪。
说明单账号跟踪适用于个人用户,多账号跟踪适用于企业用户。如果您需要创建多账号跟踪,请参见创建多账号跟踪。
同一阿里云账号下跟踪名称不可重复。
审计事件投递区域:选择将事件投递到大数据计算服务MaxCompute。
选择投递到本账号,设置如下参数。
参数
描述
大数据计算服务地域
被投递数据的MaxCompute项目所在地域。
说明操作审计会将审计日志投递至MaxCompute指定地域下的actiontrail_<阿里云账号ID> 项目中。因为同一阿里云账号下MaxCompute项目名称唯一,若账号下已有actiontrail_<阿里云账号ID>的项目,将默认投递至已有项目。
大数据计算服务项目Quota
MaxCompute的配额。
说明创建跟踪首次投递到MaxCompute时,需要选择MaxCompute的配额,若当前地域下无可选配额,请选择其他MaxCompute地域。
选择投递到其他账号,设置大数据计算服务ARN和大数据计算服务写入角色ARN。
选择投递到其他账号时需要先在目标账号中创建RAM角色,授予操作审计服务向目标账号投递事件的权限,并提前创建大数据计算服务项目。具体操作,请参见将多个阿里云账号的事件投递到同一账号。
单击确认。
跟踪创建后,事件会以JSON格式保存在MaxCompute
actiontrail_<阿里云账号ID>项目的actiontrail_<跟踪名称>数据表(Table)中。
操作审计事件数据写入指定的MaxCompute表会产生存储费用。详情请参见存储费用。
创建跟踪时,操作审计将会自动创建一个服务关联角色AliyunServiceRoleForActionTrail,并将其添加为事件投递的MaxCompute项目的管理角色Admin。详情请参见操作审计服务关联角色、角色规划。
后续操作
您可连接至MaxCompute对actiontrail_<跟踪名称>表存储的操作审计事件数据进行查询及分析。详情请参见选择连接工具。
SQL命令在MaxCompute上运行会产生相应费用。详情请参见计费项与计费方式概述。
相关文档
操作 | 说明 |
更新跟踪 | |
删除跟踪 | |
关闭跟踪 |