Action Trail預設為每個阿里雲帳號記錄最近90天的事件。但在日常工作中,企業可能需要保留180天及以上的事件,也可能需要對已有的90天事件進行分析。此時需要將這些事件轉存到資料分析服務,或持續採集雲上的事件並儲存到指定儲存服務。這需要依賴Action Trail的跟蹤功能實現。本文以建立單帳號跟蹤為例,為您介紹不同情境下通過跟蹤投遞事件的方法。
前提條件
請確保您已開通Object Storage Service。具體操作,請參見開通OSS服務。
請確保您已開通Log ServiceSLS。
當您首次使用Log ServiceSLS時,需要登入Log Service控制台,根據頁面提示開通Log ServiceSLS。
請確保您已開通MaxCompute。具體操作,請參見開通MaxCompute。
使用情境
使用Action Trail建立跟蹤並投遞事件,可以滿足您不同情境需求。如果不建立跟蹤,您將無法追溯90天以前的事件。具體情境如下:
Action Trail預設記錄最近90天的事件,為了滿足等保2.0(網路安全等級保護2.0制度)將事件儲存180天及以上的要求,您可以建立跟蹤持續採集事件並投遞到Object Storage Service、Log ServiceSLS或MaxCompute。預設情況下,投遞到OSS、SLS或MaxCompute的事件會永久儲存。如果您需要將事件設定為僅保留180天,請參見OSS修改事件儲存時間長度或SLS修改事件儲存時間長度。
當您需要及時感知敏感操作(例如:產生訂單、刪除資源等)的發生時,您可以建立跟蹤將事件投遞到Log ServiceSLS,並在SLS對需要關注的敏感操作設定警示。
當您需要分析事件,而Log ServiceSLS的分析能力又不能滿足您的需求時,您可以流量分析能力更強大的MaxCompute(MaxCompute)。MaxCompute為您提供多種經典的分散式運算模型,協助您輕鬆完成巨量資料分析。推薦您建立跟蹤,將事件投遞到Log ServiceSLS,再通過SLS將資料匯出到MaxCompute進行分析。
當您需要同時對事件進行即時分析和永久儲存時,需充分瞭解Object Storage Service、Log ServiceSLS和MaxCompute(MaxCompute)的功能特性及收費。三者收費情況為:SLS > MaxCompute > OSS,因此推薦您先將事件投遞到Log ServiceSLS進行分析,手動修改事件在SLS的儲存時間長度(儲存時間長度應該更好地滿足即時分析的時間跨度要求),然後定時將SLS中的資料匯入到MaxCompute或OSS進行永久儲存。
情境一:將事件儲存180天及以上
在左側導覽列,單擊跟蹤。
在頂部導覽列選擇您想建立跟蹤的地區。
在跟蹤頁面,單擊创建跟踪。
在建立跟蹤頁面,設定跟蹤的相關參數。
在基本資料地區,設定日誌事件。
參數
說明
跟踪名称
跟蹤的名稱。同一阿里雲帳號中跟蹤名稱不能重複。
跟蹤配置
將管控事件設定為所有事件。
在審計事件投遞地區,選擇投遞方式。
選擇将事件投递到日志服务SLS,然後選擇投遞到本帳號。
创建新的日志项目:選擇日志库所属地域,設定日志项目名称。
选择已有的日志项目:選擇日志库所属地域和日志项目名称。
選擇将事件投递到对象存储OSS,然後選擇投遞到本帳號。
建立新的儲存空間:設定儲存空間名稱、記錄檔首碼、服務端加密情況和是否開啟合規保留。
選擇已有的儲存空間:選擇儲存空間名稱。
選擇將事件投遞到MaxCompute,然後選擇投遞到本帳號。
設定MaxCompute地區和MaxCompute專案Quota。
單擊確認。
您可以執行以下操作進入儲存服務的控制台查看事件。
Object Storage Service:單擊儲存空間名稱進入OSS管理主控台查看事件。
Log ServiceSLS:單擊記錄項目名稱或日誌庫名稱,進入Log Service控制台查看事件。
MaxCompute:單擊MaxCompute專案名稱,進入MaxCompute控制台查看事件。
情境二:對敏感操作進行分析和警示
在左側導覽列,單擊跟蹤。
在頂部導覽列選擇您想建立跟蹤的地區。
在跟蹤頁面,單擊创建跟踪。
在建立跟蹤頁面,設定跟蹤的相關參數。
在基本資料地區,設定日誌事件。
參數
說明
跟踪名称
跟蹤的名稱。同一阿里雲帳號中跟蹤名稱不能重複。
跟蹤配置
將管控事件設定為寫事件。
說明敏感操作多為寫事件,管控事件設定為寫事件可以減少審計事件數目據量,從而節省成本。
在審計事件投遞地區,選擇將事件投遞到本帳號的Log Service。
建立新的記錄項目:選擇日志库所属地域,設定日志项目名称。
选择已有的日志项目:選擇日志库所属地域和日志项目名称。
單擊確認。
您可以單擊記錄項目名稱或日誌庫名稱,進入Log Service控制台查看事件分析情況。
在Log Service控制台設定警示。
具體操作,請參見設定警示。
情境三:通過MaxCompute分析事件
在左側導覽列,單擊跟蹤。
在頂部導覽列選擇您想建立跟蹤的地區。
在跟蹤頁面,單擊创建跟踪。
在建立跟蹤頁面,設定跟蹤的相關參數。
在基本資料地區,設定日誌事件。
參數
說明
跟踪名称
跟蹤的名稱。同一阿里雲帳號中跟蹤名稱不能重複。
跟蹤配置
將管控事件設定為所有事件。
在審計事件投遞地區,選擇將事件投遞到本帳號的Log Service。
创建新的日志项目:選擇日志库所属地域,設定日志项目名称。
选择已有的日志项目:選擇日志库所属地域和日志项目名称。
單擊確認。
您可以單擊記錄項目名稱或日誌庫名稱,進入Log Service控制台查看事件分析情況。
在Log Service控制台將事件投遞到MaxCompute。
具體操作,請參見建立MaxCompute投遞任務(新版)。
說明事件投遞到MaxCompute後,您可以根據需求對事件進行分析。
情境四:低成本分析和永久儲存事件
使用Action Trail建立跟蹤時,如果選擇了创建新的日志项目,則預設建立以actiontrail_<trail_name>開頭的Logstore,永久儲存事件。為了節省成本,推薦您手動修改SLS事件儲存時間長度(例如:180天),再定時將SLS中的資料匯入到MaxCompute或OSS進行永久儲存。
在Action Trail控制台建立跟蹤並將事件投遞到Log ServiceSLS。
關於如何建立跟蹤,請參見建立單帳號跟蹤。
在Log Service控制台修改日誌儲存時間長度。
在Project列表地區,單擊事件對應的Project名稱。
單擊日誌左側
表徵圖,然後單擊
表徵圖。在Logstore屬性頁面,單擊右上方的修改。
將資料儲存時間修改為限定天數,並設定儲存的天數,然後單擊頁面右上方儲存。
在Log Service控制台將事件投遞到MaxCompute或OSS。
具體操作,請參見:建立OSS投遞任務(新版)