全部產品
Search

搜尋本產品

    ActionTrail:下載Action Trail的事件

    文件中心

    ActionTrail:下載Action Trail的事件

    更新時間:Jan 20, 2026

    Action Trail僅預設為每個阿里雲帳號記錄最近90天的事件,預設僅支援通過Action Trail控制台查詢事件。如果您因為審計要求需要擷取180天以上的事件,或者需要將事件下載到本地進行分析,則必須建立跟蹤將事件投遞到SLS或OSS,再通過SLS或OSS的資料下載能力將事件以檔案形式下載到本地。

    背景資訊

    本文以單帳號跟蹤為例,為您介紹如何在Log ServiceSLS中下載Action Trail的事件,步驟如下:

    1. 在Action Trail控制台建立跟蹤將事件投遞到SLS,該跟蹤將持續收集新產生的審計事件並持續投遞到指定的SLS Logstore。

    2. (可選)在Action Trail控制台建立資料回補投遞任務,該任務可以將過去90天平台已經記錄的歷史審計事件以一次性任務的方式投遞到跟蹤已經指定的SLS Logstore。

    3. 在SLS控制台下載事件。您可以根據需求在SLS控制台查詢特定的事件,然後使用多種方式下載已經投遞到SLS的審計事件。

      例如:通過以下SQL語句查詢管控事件中所有寫事件的彙總情況。

      說明

      如果設定的查詢時間段較長,建議設定LIMIT N,返回N條事件。例如:設定LIMIT 20,返回20條事件。

      * AND "event.eventCategory": Management AND "event.eventRW": Write | SELECT"event.serviceName"AS servieName,"event.eventName"AS eventName,"event.eventRw"AS eventRw,"event.sourceIpAddress"AS sourceIpAddress,"event.resourceName"AS resourceName,"event.resourceType"AS resourceType,"event.userIdentity.userName"AS userName,"event.userIdentity.type"AS userType,"event.userIdentity.accessKeyId"AS accessKeyId,"event.acsRegion"AS eventRegion,COUNT("event.eventId")AS n, date_trunc('hour', __time__) AS time GROUP BY time, servieName, eventName, eventRw, sourceIpAddress, resourceType, resourceName, accessKeyId, userType, userName, eventRegion ORDER BY time DESC LIMIT 20

      查詢結果如下圖所示(n表示事件彙總次數):

      image.png

    步驟一:建立跟蹤並投遞到SLS

    1. 登入Action Trail控制台

    2. 在左側導覽列,單擊跟蹤

    3. 在頂部功能表列,選擇您想建立單帳號跟蹤的地區。

      說明

      該地區將成為單帳號跟蹤的Home地區,即建立跟蹤的地區。

    4. 跟蹤頁面,單擊建立跟蹤

    5. 建立跟蹤頁面,設定跟蹤的相關參數。

      • 基本資料地區,設定跟蹤名稱和管控事件類型。

        說明

        系統預設將跟蹤投遞的地區設定為全部地區。推薦您將管控事件設定為所有事件,以便跟蹤全部地區的全部事件。關於參數的更多資訊,請參見建立單帳號跟蹤

      • 審計事件投遞地區,設定將跟蹤投遞到本帳號的Log ServiceSLS。

        參數

        描述

        日志库所属地域

        記錄項目所在地區。

        日志项目名称

        Log ServiceSLS中記錄項目的名稱。

        說明

        記錄項目名稱為所有阿里雲使用者共用,不可重複。

        • 當您選中创建新的日志项目時,將通過Action Trail控制台建立記錄項目,輸入記錄項目名稱。

        • 當您選中选择已有的日志项目時,在Log ServiceSLS中選擇已有記錄項目名稱。

          關於如何在Log ServiceSLS中建立記錄項目,請參見使用LoongCollector採集並分析ECS文本日誌

    6. 單擊確認

    步驟二(可選):建立資料回補投遞任務

    建立跟蹤僅能投遞跟蹤建立時間之後的事件,如果需要下載最近90天的完整事件,您還需建立資料回補投遞任務,補投遞跟蹤建立時間往前一段時間的事件。

    說明

    如果需要建立資料回補投遞任務,請通過提交工單,擷取資料回補功能的使用許可權。

    1. 在左側導覽列,單擊資料回補

    2. 在頂部功能表列,選擇您需要投遞任務的地區。

      說明

      該地區必須與單帳號跟蹤所在地區相同。

    3. 資料回補頁面,單擊创建任务

    4. 创建任务頁面,選擇跟蹤。

      說明

      選擇跟蹤後,系統將自動填入跟蹤的地區、記錄項目地區、記錄項目名稱和日誌庫資訊。

    5. 單擊确定

      建立任務後,您可以在資料回補頁面查看任務的投遞狀態,確保任務成功投遞。

    步驟三:在SLS控制台下載事件

    您可以在SLS控制台查詢特定時間範圍的事件,然後下載事件。如果查詢到多個事件,SLS會將多個事件下載到同一個檔案中,方便您後續使用。

    1. 在Action Trail控制台,進入跟蹤所在日誌庫。

      1. 在左側導覽列,單擊跟蹤

      2. 在頂部功能表列,選擇您單帳號跟蹤和資料回補投遞任務所在的地區。

      3. 跟蹤頁面,將滑鼠懸浮到目標跟蹤儲存服務列的SLSSLS&OSS上,然後單擊SLS日誌庫名稱。

    2. 在SLS控制台,單擊15分鐘(相對),設定查詢的時間範圍(例如:今天)。

    3. 輸入查詢語句,然後單擊查詢/分析

      關於如何設定查詢語句,請參見如何在SLS設定SQL語句查詢Action Trail的事件

    4. 下載事件。

      • 方式一:下載按欄位維度分類的事件統計資訊。

        統計圖表頁簽,單擊圖表表徵圖,然後單擊下載日誌

      • 方式二:下載事件代碼檔案。

        原始日誌頁簽,單擊下載表徵圖。

    5. 日誌下載對話方塊,選擇下載方式,然後單擊確定

      • 直接下載:將本頁展示的日誌以CSV格式下載到本地。

      • 通過Cloud Shell下載:請根據頁面提示,下載所有日誌。

        說明

        目前Cloud Shell位於上海地區,如果當前Logstore不在上海地區,下載日誌會產生一定的公網流量費用。關於價格的更多資訊,請參見產品定價

      • 通過命令列工具下載:請根據頁面提示,下載所有日誌。

        說明

        • 通過命令列工具下載日誌時,需替換命令中的存取金鑰(AK)資訊。請登入使用者資訊管理主控台擷取阿里雲帳號AK。如果使用RAM使用者進行下載,請登入RAM 控制台建立RAM使用者並擷取RAM使用者的AK資訊。

        • 如果用於安裝命令列工具的機器所在地區與當前Project所在地區相同,建議單擊切換為內網endpoint,下載速度更快且不會產生額外的外網頻寬費用。

    相關文檔

    關於下載操作事件詳情的具體操作,請參見下載日誌