操作审计支持单账号跟踪、多账号跟踪和平台事件跟踪,您可以根据所需进行选择。

单账号跟踪、多账号跟踪和平台事件跟踪的差异如下表所示。

差异项 单账号跟踪 多账号跟踪 平台事件跟踪
场景 个人用户需要投递事件到日志服务SLS或对象存储OSS时,可以创建单账号跟踪。

通过创建多个单账号跟踪,可以实现以下需求:

  • 不同角色审计不同范围的事件。
  • 合规管理多地域的审计数据。
  • 为事件创建多个副本备份。
企业用户(开通了资源目录的企业)需要将资源目录内的所有成员账号的事件投递到日志服务SLS或对象存储OSS时,可以创建多账号跟踪。 个人用户需要将阿里云运维团队针对用户服务的维护操作所产生的事件投递到日志服务SLS时,可以创建平台事件跟踪。
开通方式 阿里云账号登录即可使用,免开通。 当企业开通了资源目录并在资源目录中创建了组织结构后,企业管理账号可以在操作审计中创建多账号跟踪。 提交工单或向销售经理申请白名单。
支持的云服务 支持操作审计的云服务 支持操作审计的云服务 密钥管理服务KMS、数据安全中心DSC、对象存储OSS、云服务器ECS、云数据库RDS、容器服务Kubernetes版ACK、容器镜像服务ACR和E-MapReduce。
创建跟踪的账号 阿里云账号 企业管理账号 阿里云账号
投递的事件 个人用户通过阿里云控制台、OpenAPI、开发者工具访问和管控云上服务所产生的事件。 企业用户通过阿里云控制台、OpenAPI、开发者工具访问和管控云上服务所产生的事件。 阿里云运维团队针对用户服务的维护操作所产生的事件。
投递事件的范围 当前账号的事件 所有成员账号的事件 当前账号的平台事件
投递事件的存储空间
  • 日志服务SLS
  • 对象存储OSS
  • 日志服务SLS
  • 对象存储OSS
日志服务SLS
事件查询方式
  • 操作审计控制台
  • LookupEvents接口
  • 对象存储控制台
  • 日志服务控制台
  • 企业管理账号:
    • 操作审计控制台
    • LookupEvents接口
  • 成员账号:
    • 对象存储控制台
    • 日志服务控制台
  • 操作审计控制台
  • 日志服务控制台
创建的最大跟踪数目 每个地域5个 所有地域1个 所有地域1个
OSS存储空间存储路径
  • 管控事件:oss://<bucket>/<日志文件前缀>/AliyunLogs/Actiontrail/<region>/<年>/<月>/<日>/<日志文件>
  • Insight事件:oss://<bucket>/<日志文件前缀>/AliyunLogs/Actiontrail-Insight/<region>/<年>/<月>/<日>/<日志文件>
    说明 Insight事件需要申请才能使用。更多信息,请参见Insight事件概览
oss://<bucket>/<日志文件前缀>/AliyunLogs/Actiontrail/rd_id/accountid/regionid/yyyy/mm/dd/日志文件 不涉及
SLS Logstore默认名称 actiontrail_单账号跟踪名称 actiontrail_多账号跟踪名称 innertrail_平台事件跟踪名称