操作审计(ActionTrail)帮助您监控阿里云账号的活动并记录最近90天的操作事件。在实际应用中,企业需要保留180天及以上的操作事件,或对这些操作事件进行分析,此时您可以使用操作审计创建跟踪,并将操作事件投递到指定服务。本文以创建单账号跟踪为例,为您介绍不同场景下投递操作事件的方法。

前提条件

  • 请确保您已开通对象存储OSS,详情请参见开通OSS服务
  • 请确保您已开通日志服务SLS。

    当您首次使用日志服务SLS时,需要登录日志服务控制台,根据页面提示开通日志服务SLS。

使用场景

使用操作审计创建跟踪投递操作事件,可以满足您不同场景需求,具体如下:

  • 场景一:将操作事件保存180天及以上

    操作审计支持记录最近90天的操作事件。为了满足等保2.0(网络安全等级保护2.0制度)将操作事件保存180天及以上的要求,您可以创建跟踪投递操作事件。操作审计控制台支持将跟踪投递到对象存储OSS或日志服务SLS,二者均为收费服务,且SLS收费较高。因此推荐您将操作事件投递到对象存储OSS。

  • 场景二:对敏感操作进行分析和告警

    当您需要分析敏感操作(例如:产生订单、删除资源等),并对这些操作进行告警时,您可以创建跟踪投递操作事件。操作审计控制台支持将跟踪投递到对象存储OSS或日志服务SLS。由于对象存储OSS不具备分析能力,因此推荐您将操作事件投递到日志服务SLS,并在SLS对操作事件进行分析、设置告警。

  • 场景三:通过MaxCompute分析操作事件

    当您需要分析操作事件,而日志服务SLS的分析能力又不能满足您的需求时,您可以使用分析能力更强大的大数据计算服务(MaxCompute)。推荐您创建跟踪,将操作事件投递到日志服务SLS,再通过SLS将数据导出到MaxCompute进行分析。

  • 场景四:低成本分析和永久存储操作事件

    当您需要同时对操作事件进行分析和永久存储时,您需要结合对象存储OSS、日志服务SLS和大数据计算服务(MaxCompute)的特点进行操作。由于三者均需收费,且收费情况为:SLS > MaxCompute > OSS,因此推荐您先将操作事件投递到日志服务SLS进行分析,手动修改SLS操作事件存储时长后,再定时将SLS中的数据导入到MaxCompute或OSS进行永久存储。

场景一:将操作事件保存180天及以上

  1. 登录操作审计控制台
  2. 在顶部导航栏选择您想创建跟踪的地域。
  3. 在左侧导航栏,选择操作审计 > 创建跟踪
  4. 跟踪基本属性页面,设置如下参数,单击下一步
    参数 说明
    跟踪名称 跟踪的名称。同一阿里云账号中跟踪名称不能重复。
    跟踪的地域 选择全部地域
    事件类型 选择所有事件
  5. 审计事件投递页面,选择将事件投递到对象存储OSS,设置相关参数,单击下一步
    • 创建新的存储桶:设置存储桶名称日志文件前缀、服务端加密情况。
    • 选择已有的存储桶:选择存储桶名称,设置日志文件前缀
  6. 预览并创建页面,确认跟踪信息,单击提交
  7. 单击查看跟踪详情,然后单击存储桶名称进入OSS管理控制台查看操作事件。

场景二:对敏感操作进行分析和告警

  1. 登录操作审计控制台
  2. 在顶部导航栏选择您想创建跟踪的地域。
  3. 在左侧导航栏,选择操作审计 > 创建跟踪
  4. 跟踪基本属性页面,设置如下参数,单击下一步
    参数 说明
    跟踪名称 跟踪的名称。同一阿里云账号中跟踪名称不能重复。
    跟踪的地域 选择全部地域
    事件类型 选择写事件
    说明 敏感操作多为写事件,将事件类型设置为写事件可以减少审计事件数据量,从而节省成本。
  5. 审计事件投递页面,选择将事件投递到日志服务SLS,设置相关参数,单击下一步
    • 创建新的日志项目:选择日志库所属地域,设置日志项目名称
    • 选择已有的日志项目:选择日志库所属地域日志项目名称
  6. 预览并创建页面,确认跟踪信息,单击提交
  7. 单击查看跟踪详情,然后单击日志项目名称或日志库名称,进入日志服务控制台查看操作事件分析情况。
  8. 在日志服务控制台设置告警,详情请参见设置告警

场景三:通过MaxCompute分析操作事件

  1. 登录操作审计控制台
  2. 在顶部导航栏选择您想创建跟踪的地域。
  3. 在左侧导航栏,选择操作审计 > 创建跟踪
  4. 跟踪基本属性页面,设置如下参数,单击下一步
    参数 说明
    跟踪名称 跟踪的名称。同一阿里云账号中跟踪名称不能重复。
    跟踪的地域 选择全部地域
    事件类型 选择所有类型
  5. 审计事件投递页面,选择将事件投递到日志服务SLS,设置相关参数,单击下一步
    • 创建新的日志项目:选择日志库所属地域,设置日志项目名称
    • 选择已有的日志项目:选择日志库所属地域日志项目名称
  6. 预览并创建页面,确认跟踪信息,单击提交
  7. 单击查看跟踪详情,然后单击日志项目名称或日志库名称,进入日志服务控制台查看操作事件分析情况。
  8. 在日志服务控制台将操作事件投递到MaxCompute。
    说明 操作事件投递到MaxCompute后,您可以根据需求对事件进行分析。

场景四:低成本分析和永久存储操作事件

使用操作审计创建跟踪时,如果选择了创建新的日志项目,则默认创建以actiontrail_{trail_name}开头的Logstore,永久保存操作事件。为了节省成本,推荐您手动修改SLS操作事件存储时长,例如一个月或一周,再定时将SLS中的数据导入到MaxCompute或OSS进行永久存储。

  1. 在操作审计控制台创建跟踪并将操作事件投递到日志服务SLS。
    关于创建跟踪的详情,请参见创建单账号跟踪
  2. 在日志服务控制台修改日志存储时长。
    1. 登录日志服务控制台
    2. Project列表区域,单击操作事件对应的Project名称
    3. 单击日志左侧1,单击2
    4. Logstore属性页面,关闭永久保存开关。
    5. 设置数据保存时间,单击右上角保存
      保存
  3. 在日志服务控制台将操作事件投递到MaxCompute或OSS。
    操作详情,请参见:将日志服务数据投递到OSS