ActionTrail は、デフォルトでは Alibaba Cloud アカウント内で生成されたイベントを 90 日間保存します。 このイベントは、ActionTrail コンソールで照会できます。 90日以上前に生成されたイベントをクエリするには、まずトレイルを作成してこれらのイベントを記録する必要があります。 このトピックでは、単一アカウントの証跡の仕組みと、それを適用できるシナリオについて説明します。
単一アカウントトレイルの仕組み
シングルアカウントトレイルを作成すると、クエリ、分析、または長期保存用にJSON形式で指定したObject Storage Service (OSS) バケットまたはLog Service Logstoreにイベントが送信されます。 イベントにストレージサービスを選択するときは、次のルールに注意してください。
- イベントをクエリまたは分析する場合は、ActionTrailを設定してイベントをLog Serviceに配信できます。 イベントが生成されると、ActionTrailは指定されたLog Service Logstoreに1分以内にイベントを配信します。
- イベントを長期間保存またはアーカイブする場合は、イベントをOSSに配信するようにActionTrailを設定できます。 イベントが生成されると、ActionTrailは指定されたOSSバケットにイベントを10分以内に配信します。
ActionTrailは、指定されたOSSバケットにイベントを配信する前に、特定のルールに基づいてイベントを集計します。 ほとんどの場合、5分ごとに生成されるイベントは1つのファイルに集約されます。 5分間に多数のイベントが発生した場合、これらのイベントは複数のファイルに集約される可能性があります。
次の図は、単一アカウントのトレイルの動作を示しています。
シナリオ
複数の単一アカウントトレイルを作成して、次の目標を達成できます。
- イベントタイプに基づいて、さまざまなストレージオブジェクトにイベントを配信します。 次に、特定のストレージオブジェクトのイベントを監査する権限をエンタープライズロールに付与できます。
- 1つ以上の国のリージョンにデプロイされているストレージオブジェクトにイベントを配信します。 次に、監査データが複数のリージョンで関連する規制に準拠しているかどうかを確認できます。
- データが失われないように、イベントのバックアップを生成します。
説明 異なる単一アカウントの証跡に同じイベント配信先を設定しないことを推奨します。 そうしないと、イベントが繰り返し配信され、ストレージスペースが無駄になります。