操作审计(ActionTrail)帮助您监控阿里云账号的活动并记录最近90天的操作事件。在实际应用中,企业需要保留180天及以上的操作事件,或对这些操作事件进行分析,此时您可以使用操作审计创建跟踪,并将操作事件投递到指定服务。本文以创建单账号跟踪为例,为您介绍不同场景下投递操作事件的方法。
使用场景
使用操作审计创建跟踪投递操作事件,可以满足您不同场景需求,具体如下:
- 场景一:将操作事件保存180天及以上
操作审计支持记录最近90天的操作事件。为了满足等保2.0(网络安全等级保护2.0制度)将操作事件保存180天及以上的要求,您可以创建跟踪投递操作事件。操作审计控制台支持将跟踪投递到对象存储OSS或日志服务SLS,二者均为收费服务,且SLS收费较高。因此推荐您将操作事件投递到对象存储OSS。
- 场景二:对敏感操作进行分析和告警
当您需要分析敏感操作(例如:产生订单、删除资源等),并对这些操作进行告警时,您可以创建跟踪投递操作事件。操作审计控制台支持将跟踪投递到对象存储OSS或日志服务SLS。由于对象存储OSS不具备分析能力,因此推荐您将操作事件投递到日志服务SLS,并在SLS对操作事件进行分析、设置告警。
- 场景三:通过MaxCompute分析操作事件
当您需要分析操作事件,而日志服务SLS的分析能力又不能满足您的需求时,您可以使用分析能力更强大的大数据计算服务(MaxCompute)。推荐您创建跟踪,将操作事件投递到日志服务SLS,再通过SLS将数据导出到MaxCompute进行分析。
- 场景四:低成本分析和永久存储操作事件
当您需要同时对操作事件进行分析和永久存储时,您需要结合对象存储OSS、日志服务SLS和大数据计算服务(MaxCompute)的特点进行操作。由于三者均需收费,且收费情况为:SLS
> MaxCompute > OSS,因此推荐您先将操作事件投递到日志服务SLS进行分析,手动修改SLS操作事件存储时长后,再定时将SLS中的数据导入到MaxCompute或OSS进行永久存储。
场景一:将操作事件保存180天及以上
- 登录操作审计控制台。
- 在顶部导航栏选择您想创建跟踪的地域。
- 在左侧导航栏,选择。
- 在跟踪基本属性页面,设置如下参数,单击下一步。
参数 |
说明 |
跟踪名称 |
跟踪的名称。同一阿里云账号中跟踪名称不能重复。 |
跟踪的地域 |
选择全部地域。
|
事件类型 |
选择所有事件。
|
- 在审计事件投递页面,选择将事件投递到对象存储OSS,设置相关参数,单击下一步。
- 创建新的存储桶:设置存储桶名称、日志文件前缀、服务端加密情况。
- 选择已有的存储桶:选择存储桶名称,设置日志文件前缀。
- 在预览并创建页面,确认跟踪信息,单击提交。
- 单击查看跟踪详情,然后单击存储桶名称进入OSS管理控制台查看操作事件。
场景二:对敏感操作进行分析和告警
- 登录操作审计控制台。
- 在顶部导航栏选择您想创建跟踪的地域。
- 在左侧导航栏,选择。
- 在跟踪基本属性页面,设置如下参数,单击下一步。
参数 |
说明 |
跟踪名称 |
跟踪的名称。同一阿里云账号中跟踪名称不能重复。 |
跟踪的地域 |
选择全部地域。
|
事件类型 |
选择写事件。
说明 敏感操作多为写事件,将事件类型设置为写事件可以减少审计事件数据量,从而节省成本。
|
- 在审计事件投递页面,选择将事件投递到日志服务SLS,设置相关参数,单击下一步。
- 创建新的日志项目:选择日志库所属地域,设置日志项目名称。
- 选择已有的日志项目:选择日志库所属地域和日志项目名称。
- 在预览并创建页面,确认跟踪信息,单击提交。
- 单击查看跟踪详情,然后单击日志项目名称或日志库名称,进入日志服务控制台查看操作事件分析情况。
- 在日志服务控制台设置告警,详情请参见设置告警。
场景三:通过MaxCompute分析操作事件
- 登录操作审计控制台。
- 在顶部导航栏选择您想创建跟踪的地域。
- 在左侧导航栏,选择。
- 在跟踪基本属性页面,设置如下参数,单击下一步。
参数 |
说明 |
跟踪名称 |
跟踪的名称。同一阿里云账号中跟踪名称不能重复。 |
跟踪的地域 |
选择全部地域。
|
事件类型 |
选择所有类型。
|
- 在审计事件投递页面,选择将事件投递到日志服务SLS,设置相关参数,单击下一步。
- 创建新的日志项目:选择日志库所属地域,设置日志项目名称。
- 选择已有的日志项目:选择日志库所属地域和日志项目名称。
- 在预览并创建页面,确认跟踪信息,单击提交。
- 单击查看跟踪详情,然后单击日志项目名称或日志库名称,进入日志服务控制台查看操作事件分析情况。
- 在日志服务控制台将操作事件投递到MaxCompute。
说明 操作事件投递到MaxCompute后,您可以根据需求对事件进行分析。
场景四:低成本分析和永久存储操作事件
使用操作审计创建跟踪时,如果选择了创建新的日志项目,则默认创建以actiontrail_{trail_name}
开头的Logstore,永久保存操作事件。为了节省成本,推荐您手动修改SLS操作事件存储时长,例如一个月或一周,再定时将SLS中的数据导入到MaxCompute或OSS进行永久存储。
- 在操作审计控制台创建跟踪并将操作事件投递到日志服务SLS。
- 在日志服务控制台修改日志存储时长。
- 登录日志服务控制台。
- 在Project列表区域,单击操作事件对应的Project名称。
- 单击日志左侧
,单击
。
- 在Logstore属性页面,关闭永久保存开关。
- 设置数据保存时间,单击右上角保存。
- 在日志服务控制台将操作事件投递到MaxCompute或OSS。