操作审计默认只记录每个阿里云账号最近90天内的事件。如果您未创建跟踪,将无法追溯90天以前的事件。本文将介绍如何创建跟踪,并将事件采集到日志审计关联的 Project 下,以便长期存储和分析。
背景信息
当您使用阿里云账号投递事件时,将投递阿里云账号和阿里云账号中所有RAM用户相关的事件。当您使用RAM用户投递事件时,需要先授予RAM用户管理跟踪的权限。具体操作,请参见为RAM用户授权。
工作原理
创建跟踪并投递到日志服务SLS,事件会以JSON格式保存在SLS Logstore中,新产生的事件通常会在1分钟内投递至您的SLS LogStore,便于您后续查询和分析。
1. 关联Project
操作审计日志会接入到日志审计关联的 Project 中。
登录日志服务控制台。在日志应用区域的审计与安全页签,单击新版日志审计服务。
在新版日志审计页面,单击关联Project,在对话框中配置 Project,例如
sample-production-cn-shanghai,然后单击确定关联。
2. 创建跟踪
登录操作审计控制台。在左侧导航栏,单击跟踪,在创建跟踪页面配置基本信息和审计事件投递。例如参考下图,配置跟踪名称为
sample-production-actiontrail,将事件投递到已关联的日志服务目标sample-production-cn-shanghai中。说明操作审计会自动创建一个名为
actiontrail_<跟踪名称>的日志库(Logstore)
创建跟踪成功后,可在跟踪详情页,查看详细配置。
3. 验证采集结果
在新版日志审计的页面,单击已关联的Project的名称。
在云产品页签,操作审计已开启,单击前往查看。
在查询分析>操作审计日志页面,Logstore为
actiontrail_sample-production-actiontrail,使用查询语法进行查询和分析。
相关文档
如果使用RAM用户操作新版日志审计服务,需要使用阿里云主账号为RAM用户授予相应权限,具体步骤请参见为RAM用户授权使用新版日志审计服务。
查看、创建、修改、删除日志审计规则的操作步骤,请参见管理新版日志审计规则。
本文以操作审计访问日志为例,其他云产品的日志类型、默认Project名称、默认Logstore名称、日志计费等信息请参见云产品配置注意事项。