操作审计(ActionTrail)功能可追踪和记录阿里云账号近90天内的操作事件。如需分析更长时间的数据,可创建跟踪并将事件投递至MaxCompute进行查询与分析。本文介绍该功能的配置与使用方法。
操作步骤
开通MaxCompute和DataWorks服务。详情请参见开通MaxCompute和DataWorks。
当使用RAM用户投递操作审计事件时,需要先授予RAM用户管理单账号跟踪的权限。详情请参见为RAM用户授权。
登录操作审计控制台。
在左侧导航栏选择跟踪,在左上角选择地域。
跟踪是一种操作审计事件投递配置,根据创建者、作用范围和投递内容的不同,分为单账号跟踪、多账号跟踪和平台事件跟踪。详情请参见跟踪概览。
在跟踪页面,单击创建跟踪。
在弹出的快速创建跟踪页面,单击标题下方提示框的跟踪创建。
创建跟踪时,操作审计将会自动创建一个服务关联角色AliyunServiceRoleForActionTrail,并将其添加为事件投递的MaxCompute项目的管理角色Admin。详情请参见操作审计服务关联角色、角色规划。
配置如下参数后,单击确认。
基本信息区域:自定义填写跟踪名称并选择跟踪事件。
管控事件投递区域:选择将事件投递到大数据计算服务MaxCompute。
投递账号选择投递到本账号,设置如下参数。
参数
描述
大数据计算服务地域
被投递数据的MaxCompute项目所在地域。
操作审计会将审计日志投递至MaxCompute指定地域下的actiontrail_<阿里云账号ID> 项目中。因为同一阿里云账号下MaxCompute项目名称唯一,若账号下已有actiontrail_<阿里云账号ID>的项目,将默认投递至已有项目。
大数据计算服务项目Quota
MaxCompute的配额。
创建跟踪首次投递到MaxCompute时,需要选择MaxCompute的配额,若当前地域下无可选配额,请选择其他MaxCompute地域。
投递账号选择投递到其他账号,设置大数据计算服务 ARN和大数据计算服务写入角色 ARN。
选择投递到其他账号时需要先在目标账号中创建RAM角色,授予操作审计服务向目标账号投递事件的权限,并提前创建大数据计算服务项目。具体操作,请参见将多个阿里云账号的事件投递到同一账号。
跟踪创建后,事件会以JSON格式保存在MaxCompute
actiontrail_<阿里云账号ID>项目的actiontrail_<跟踪名称>数据表(Table)中。操作审计事件数据写入指定的MaxCompute表会产生存储费用。详情请参见存储费用。