STAROps 审计
本文介绍如何使用操作审计(ActionTrail)记录、查询和分析 STAROps(全域智能运维平台)的云操作事件。通过操作审计,您可以对 STAROps 平台资源的全部管控操作进行安全分析、资源变更追踪和合规性审计。
安全风险与合规价值
在等保 2.0 等安全合规标准中,对运维操作进行日志记录是基本要求,且要求保存不少于规定的天数。STAROps 作为具备 AI 自主执行能力的运维平台,其操作审计具有特殊的安全价值:
操作来源可识别:审计事件记录操作者身份、源 IP、请求参数和云凭据 ID 等元数据,可用于识别异常操作。
资源变更可回溯:对数字员工、技能、长期任务、工作空间等核心资源的创建、修改和删除操作全程留痕。
功能概述
STAROps 与操作审计(ActionTrail)深度集成,平台资源的全部管控操作会被自动采集为审计事件,无需您进行额外配置。
审计覆盖以下资源类型:
资源类型 | 说明 |
数字员工(DigitalEmployee) | 创建、更新、删除、查询数字员工。 |
技能(DigitalEmployeeSkill) | 创建、更新、删除、查询数字员工的技能配置。 |
MCP工具(DigitalEmployeeTools) | 查看、更新MCP工具 |
会话(Thread) | 创建、更新、删除、查询智能会话,以及发起对话。 |
长期任务(Mission) | 创建、更新、删除、查询长期任务 |
完整的审计事件列表,请参见审计事件列表。
前提条件
已开通操作审计(ActionTrail)服务,并已创建单账号跟踪。
当前账号已被授予操作审计的读取权限(
actiontrail:LookupEvents等)。
查看审计事件
本节介绍如何查看 STAROps 的审计事件。推荐使用操作审计控制台的高级查询功能,也可以通过日志服务(SLS)进行更灵活的 SQL 查询。
通过高级查询查看(推荐)
高级查询支持更灵活的筛选条件,推荐用于精确查询 STAROps 的审计事件。使用高级查询需提前创建跟踪(Trail)并将事件投递到日志服务(SLS)。如果您尚未创建跟踪,请参见创建单账号跟踪。
登录操作审计控制台。
在左侧导航栏中单击高级查询。
在跟踪下拉列表中,选择已创建的跟踪(如
security-actiontrail-xxxxxxxxx)。设置查询的时间范围。
(可选)在筛选条件中输入事件名称(如
CreateDigitalEmployee)或用户名等关键词,缩小查询范围。单击运行,查看匹配的审计事件列表。
单击目标事件,展开事件详情,查看操作者、源 IP、请求参数、响应结果等完整信息。
通过标准查询查看
登录操作审计控制台。
在左侧导航栏中单击事件查询。
在服务名称筛选项中选择 CMS。
在读写类型筛选项中选择目标类型(写或读,默认全选)。
选择查询的时间范围,事件列表中会自动筛选符合条件的记录。
在事件列表中找到 STAROps 相关事件(事件名称以
CreateDigitalEmployee、CreateThread等开头),单击展开查看详情。
STAROps 的审计事件通过云监控(CMS)服务路由记录。标准查询通过服务名称 CMS 筛选,返回结果会同时包含云监控的事件。如需更精确的查询,建议使用高级查询。
通过日志服务(SLS)查询
当跟踪已将审计事件投递到日志服务(SLS)后,您可以使用 SLS 的查询分析功能进行 SQL 级别的灵活检索和统计分析。
常用查询示例
本节提供常用的审计事件查询示例,帮助您快速上手。
查询某用户对数字员工的操作
通过高级查询:
在高级查询页面,选择对应的跟踪并设置时间范围。
在筛选条件中输入目标用户名(如
ops-admin)。在事件名称中依次搜索
CreateDigitalEmployee、UpdateDigitalEmployee、DeleteDigitalEmployee,查看该用户对数字员工的管理操作。
通过 SLS 查询(可选):
event.serviceName: Cms
and event.userIdentity.userName: "ops-admin"
and (event.eventName: CreateDigitalEmployee
or event.eventName: UpdateDigitalEmployee
or event.eventName: DeleteDigitalEmployee)查询指定时间段内的会话创建记录
通过高级查询:
在高级查询页面,选择对应的跟踪并设置目标时间范围。
在事件名称中输入
CreateThread。单击搜索,查看所有会话创建记录。
通过 SLS 查询(可选):
event.serviceName: Cms and event.eventName: CreateThread查询来自异常 IP 的操作
通过高级查询:
在高级查询页面,选择对应的跟踪并设置时间范围。
在筛选条件中输入需要排查的源 IP 地址。
查看该 IP 执行的所有 STAROps 操作,判断是否存在异常行为。
通过 SLS 查询(可选):
event.serviceName: Cms
and event.sourceIpAddress: "203.0.113.xx"使用 SLS 查询时,时间范围通过查询页面左上角的时间选择器设置,无需在查询语句中指定。
最佳实践
以下为 STAROps 操作审计的推荐实践,帮助您充分利用审计能力保障平台安全。
启用日志跟踪并长期存储
操作审计默认仅保留最近 90 天 的事件记录。如果您需要更长的保留期以满足合规要求(如等保 2.0 要求保留 180 天以上),建议创建跟踪将事件投递到日志服务(SLS)或对象存储(OSS)进行长期存储。
存储方式 | 适用场景 | 说明 |
日志服务(SLS) | 需要灵活查询和分析 | 支持 SQL 查询、仪表盘、告警,适合日常审计分析。 |
对象存储(OSS) | 需要低成本长期归档 | 适合纯归档场景,存储成本更低。 |
具体操作,请参见长期存储完整的事件。如果不创建跟踪,每过去一天就会清除最早一天的记录。建议在开通 STAROps 后尽早创建跟踪,避免审计数据丢失。
设置事件告警
操作审计的事件告警功能可以帮助您实时监测 STAROps 平台上的异常操作并快速响应。当设定的告警规则识别到潜在的安全威胁或不合规操作时,系统会通过短信、邮件、钉钉等方式发送告警通知。
建议关注以下 STAROps 相关的告警场景:
告警场景 | 监控事件 | 说明 |
数字员工被异常删除 |
| 核心资源被删除时应立即告警,防止误操作或恶意行为。 |
技能配置被修改 |
| 技能配置变更可能影响数字员工的行为边界,建议监控。 |
非工作时间的写入操作 | 所有 Write 级别事件 | 非工作时间的管控操作可能存在安全风险。 |
来自未知 IP 的操作 | 所有事件 | 来自非常用 IP 的操作可能为异常登录。 |
连续失败的操作 | 所有含 | 短时间内大量失败操作可能为恶意尝试。 |
您可以使用操作审计内置的告警模板快速创建告警规则,也可以自定义告警规则。具体操作,请参见设置事件告警。
使用 Insights 智能分析
Insights 是操作审计提供的智能分析工具,通过数学模型分析管控事件的调用模式,自动识别偏离历史基线的异常行为(如某 API 调用率突然大幅升高、从未出现过的 IP 发起操作等),生成 Insights 事件便于您及时排查。
Insights 可识别的异常类型包括:
存在风险的 API 调用事件
API 错误事件
异常 IP 请求事件
AccessKey 调用事件
权限变更事件
Insights 需要开通后才能使用。具体操作,请参见 Insights事件概览。