文档

将操作审计日志接入日志审计

更新时间:

操作审计默认只记录每个阿里云账号最近90天内的事件。如果您未创建跟踪,将无法追溯90天以前的事件。本文将介绍如何创建跟踪,并将事件采集到日志审计关联的 Project 下,以便长期存储和分析。

背景信息

当您使用阿里云账号投递事件时,将投递阿里云账号和阿里云账号中所有RAM用户相关的事件。当您使用RAM用户投递事件时,需要先授予RAM用户管理跟踪的权限。具体操作,请参见为RAM用户授权

工作原理

创建跟踪并投递到日志服务SLS,事件会以JSON格式保存在SLS Logstore中,新产生的事件通常会在1分钟内投递至您的SLS LogStore,便于您后续查询和分析。

image

1. 关联Project

操作审计日志会接入到日志审计关联的 Project 中。

  1. 登录日志服务控制台。在日志应用区域的审计与安全页签,单击新版日志审计服务

    image

  2. 在新版日志审计页面,单击关联Project,在对话框中配置 Project,例如sample-production-cn-shanghai,然后单击确定关联

    image

2. 创建跟踪

  1. 登录操作审计控制台在左侧导航栏,单击跟踪,在创建跟踪页面配置基本信息审计事件投递。例如参考下图,配置跟踪名称为sample-production-actiontrail,将事件投递到已关联的日志服务目标sample-production-cn-shanghai中。

    说明

    操作审计会自动创建一个名为actiontrail_<跟踪名称>的日志库(Logstore)

    image

  2. 创建跟踪成功后,可在跟踪详情页,查看详细配置。

    image

3. 验证采集结果

  1. 在新版日志审计的页面,单击已关联的Project的名称。

    image

  2. 云产品页签,操作审计已开启,单击前往查看

    image

  3. 查询分析>操作审计日志页面,Logstore为actiontrail_sample-production-actiontrail,使用查询语法进行查询和分析。

    image

相关文档