文档

操作审计事件数据迁移至MaxCompute

更新时间:

操作审计(ActionTrail)功能允许您追踪和记录阿里云账号在最近90天内的操作事件。当您需要分析更长时间的操作事件时,可以通过操作审计创建跟踪,将操作事件数据投递至MaxCompute,并对其进行查询和分析。本文为您介绍如何通过创建跟踪将操作审计事件数据投递至MaxCompute。

前提条件

  • 已开通MaxCompute和DataWorks服务。详情请参见开通MaxCompute和DataWorks

  • 当您使用RAM用户投递操作审计事件时,需要先授予RAM用户管理单账号跟踪的权限。详情请参见为RAM用户授权

操作步骤

  1. 登录操作审计控制台,在左侧导航栏,单击跟踪

    说明

    跟踪是一种操作审计事件投递配置,根据创建者、作用范围和投递内容的不同,分为单账号跟踪、多账号跟踪和平台事件跟踪。详情请参见跟踪概览

  2. 在顶部导航栏选择您想创建单账号跟踪的地域,单击创建跟踪,完成以下参数配置。

    • 基本信息区域:自定义填写跟踪名称并选择跟踪配置,详情请参见创建单账号跟踪

      说明
      • 单账号跟踪适用于个人用户,多账号跟踪适用于企业用户。如果您需要创建多账号跟踪,请参见创建多账号跟踪

      • 同一阿里云账号下跟踪名称不可重复。

    • 审计事件投递区域:选择将事件投递到大数据计算服务MaxCompute

      • 选择投递到本账号,设置如下参数。

        参数

        描述

        大数据计算服务地域

        被投递数据的MaxCompute项目所在地域。

        说明

        操作审计会将审计日志投递至MaxCompute指定地域下的actiontrail_<阿里云账号ID> 项目中。因为同一阿里云账号下MaxCompute项目名称唯一,若账号下已有actiontrail_<阿里云账号ID>的项目,将默认投递至已有项目。

        大数据计算服务项目Quota

        MaxCompute的配额

        说明

        创建跟踪首次投递到MaxCompute时,需要选择MaxCompute的配额,若当前地域下无可选配额,请选择其他MaxCompute地域。

      • 选择投递到其他账号,设置大数据计算服务ARN大数据计算服务写入角色ARN

        选择投递到其他账号时需要先在目标账号中创建RAM角色,授予操作审计服务向目标账号投递事件的权限,并提前创建大数据计算服务项目。具体操作,请参见将多个阿里云账号的事件投递到同一账号

  3. 单击确认

    跟踪创建后,事件会以JSON格式保存在MaxComputeactiontrail_<阿里云账号ID>项目的actiontrail_<跟踪名称>数据表(Table)中。

说明
  • 操作审计事件数据写入指定的MaxCompute表会产生存储费用。详情请参见存储费用

  • 创建跟踪时,操作审计将会自动创建一个服务关联角色AliyunServiceRoleForActionTrail,并将其添加为事件投递的MaxCompute项目的管理角色Admin。详情请参见操作审计服务关联角色角色规划

后续操作

您可连接至MaxCompute对actiontrail_<跟踪名称>表存储的操作审计事件数据进行查询及分析。详情请参见选择连接工具

说明

SQL命令在MaxCompute上运行会产生相应费用。详情请参见计费项与计费方式概述

相关文档

操作

说明

更新跟踪

若您需要更新跟踪相关参数,请参见更新单账号跟踪更新多账号跟踪

删除跟踪

若您需要删除跟踪,请参见删除单账号跟踪删除多账号跟踪

关闭跟踪

若您需要停止将操作事件投递到指定的地址,但保留已有参数配置,请参见关闭单账号跟踪关闭多账号跟踪