操作审计默认为每个阿里云账号记录最近90天的操作事件。但在日常工作中,企业可能需要保留180天及以上的操作事件,也可能需要对已有的90天操作事件进行分析。此时需要将这些事件转存到数据分析服务,或持续采集云上的操作事件并保存到指定存储服务。这需要依赖操作审计的跟踪功能实现。本文以创建单账号跟踪为例,为您介绍不同场景下通过跟踪投递操作事件的方法。

前提条件

  • 请确保您已开通对象存储OSS。具体操作,请参见开通OSS服务
  • 请确保您已开通日志服务SLS。

    当您首次使用日志服务SLS时,需要登录日志服务控制台,根据页面提示开通日志服务SLS。

使用场景

使用操作审计创建跟踪并投递操作事件,可以满足您不同场景需求。如果不创建跟踪,您将无法追溯90天以前的操作事件。具体场景如下:

  • 场景一:将操作事件保存180天及以上

    操作审计默认记录最近90天的操作事件,为了满足等保2.0(网络安全等级保护2.0制度)将操作事件保存180天及以上的要求,您可以创建跟踪持续采集操作事件并投递到对象存储OSS或日志服务SLS。默认情况下,投递到OSS或SLS的操作事件会永久保存。如果您需要将操作事件设置为仅保留180天,请参见OSS修改事件存储时长SLS修改事件存储时长

  • 场景二:对敏感操作进行分析和告警

    当您需要及时感知敏感操作(例如:产生订单、删除资源等)的发生时,您可以创建跟踪将操作事件投递到日志服务SLS,并在SLS对需要关注的敏感操作设置告警。

  • 场景三:通过MaxCompute分析操作事件

    当您需要分析操作事件,而日志服务SLS的分析能力又不能满足您的需求时,您可以使用分析能力更强大的大数据计算服务(MaxCompute)。MaxCompute为您提供多种经典的分布式计算模型,帮助您轻松完成大数据分析。推荐您创建跟踪,将操作事件投递到日志服务SLS,再通过SLS将数据导出到MaxCompute进行分析。

  • 场景四:低成本分析和永久存储操作事件

    当您需要同时对操作事件进行实时分析和永久存储时,需充分了解对象存储OSS、日志服务SLS和大数据计算服务(MaxCompute)的功能特性及收费。三者收费情况为:SLS > MaxCompute > OSS,因此推荐您先将操作事件投递到日志服务SLS进行分析,手动修改操作事件在SLS的存储时长(存储时长应该更好地满足实时分析的时间跨度要求),然后定时将SLS中的数据导入到MaxCompute或OSS进行永久存储。

场景一:将操作事件保存180天及以上

  1. 登录操作审计控制台
  2. 在顶部导航栏选择您想创建跟踪的地域。
  3. 在左侧导航栏,单击跟踪列表
  4. 跟踪列表页面,单击创建跟踪
  5. 跟踪基本属性页面,设置如下参数,单击下一步
    参数 说明
    跟踪名称 跟踪的名称。同一阿里云账号中跟踪名称不能重复。
    跟踪的地域 选择全部地域
    事件类型 选择所有事件
  6. 审计事件投递页面,选择投递方式,单击下一步
    • 选择将事件投递到日志服务SLS,然后选择投递到本账号
      • 创建新的日志项目:选择日志库所属地域,设置日志项目名称
      • 选择已有的日志项目:选择日志库所属地域日志项目名称
    • 选择将事件投递到对象存储OSS,然后选择投递到本账号
      • 创建新的存储空间:设置存储空间名称日志文件前缀、服务端加密情况。
      • 选择已有的存储空间:选择存储空间名称,设置日志文件前缀
  7. 预览并创建页面,确认跟踪信息,单击提交
  8. 单击查看跟踪详情,然后执行以下操作进入存储服务的控制台查看操作事件。
    • 对象存储OSS:单击存储空间名称进入OSS管理控制台查看操作事件。
    • 日志服务SLS:单击日志项目名称或日志库名称,进入日志服务控制台查看操作事件。

场景二:对敏感操作进行分析和告警

  1. 登录操作审计控制台
  2. 在顶部导航栏选择您想创建跟踪的地域。
  3. 在左侧导航栏,单击跟踪列表
  4. 跟踪列表页面,单击创建跟踪
  5. 跟踪基本属性页面,设置如下参数,单击下一步
    参数 说明
    跟踪名称 跟踪的名称。同一阿里云账号中跟踪名称不能重复。
    跟踪的地域 选择全部地域
    事件类型 选择写事件
    说明 敏感操作多为写事件,将事件类型设置为写事件可以减少审计事件数据量,从而节省成本。
  6. 审计事件投递页面,选择将事件投递到日志服务SLS,然后选择投递到本账号,设置相关参数,单击下一步
    • 创建新的日志项目:选择日志库所属地域,设置日志项目名称
    • 选择已有的日志项目:选择日志库所属地域日志项目名称
  7. 预览并创建页面,确认跟踪信息,单击提交
  8. 单击查看跟踪详情,然后单击日志项目名称或日志库名称,进入日志服务控制台查看操作事件分析情况。
  9. 在日志服务控制台设置告警。
    具体操作,请参见设置告警

场景三:通过MaxCompute分析操作事件

  1. 登录操作审计控制台
  2. 在顶部导航栏选择您想创建跟踪的地域。
  3. 在左侧导航栏,单击跟踪列表
  4. 跟踪列表页面,单击创建跟踪
  5. 跟踪基本属性页面,设置如下参数,单击下一步
    参数 说明
    跟踪名称 跟踪的名称。同一阿里云账号中跟踪名称不能重复。
    跟踪的地域 选择全部地域
    事件类型 选择所有类型
  6. 审计事件投递页面,选择将事件投递到日志服务SLS,然后选择投递到本账号,设置相关参数,单击下一步
    • 创建新的日志项目:选择日志库所属地域,设置日志项目名称
    • 选择已有的日志项目:选择日志库所属地域日志项目名称
  7. 预览并创建页面,确认跟踪信息,单击提交
  8. 单击查看跟踪详情,然后单击日志项目名称或日志库名称,进入日志服务控制台查看操作事件分析情况。
  9. 在日志服务控制台将操作事件投递到MaxCompute。
    说明 操作事件投递到MaxCompute后,您可以根据需求对事件进行分析。

场景四:低成本分析和永久存储操作事件

使用操作审计创建跟踪时,如果选择了创建新的日志项目,则默认创建以actiontrail_{trail_name}开头的Logstore,永久保存操作事件。为了节省成本,推荐您手动修改SLS操作事件存储时长(例如:180天),再定时将SLS中的数据导入到MaxCompute或OSS进行永久存储。

  1. 在操作审计控制台创建跟踪并将操作事件投递到日志服务SLS。
    关于如何创建跟踪,请参见创建单账号跟踪
  2. 在日志服务控制台修改日志存储时长。
    1. 登录日志服务控制台
    2. Project列表区域,单击操作事件对应的Project名称
    3. 单击日志左侧1图标,然后单击2图标。
    4. Logstore属性页面,关闭永久保存开关。
    5. 设置数据保存时间,单击右上角保存
      修改时长
  3. 在日志服务控制台将操作事件投递到MaxCompute或OSS。
    具体操作,请参见:将日志服务数据投递到OSS