操作审计仅默认为每个阿里云账号存储最近90天的事件,而等保2.0(网络安全等级保护2.0制度)要求将事件保存180天及以上。您可以创建跟踪和历史事件投递任务,以便长期存储完整的事件。否则,将无法追溯90天以前的事件。

前提条件

通过提交工单,获取历史事件投递任务功能的使用权限。

背景信息

创建跟踪仅能投递跟踪创建时间之后的事件,为了将最近90天的事件进行完整的保存,您还需创建历史事件投递任务,补投递跟踪创建时间往前一段时间的事件。

补投递的历史事件时间范围的开始时间为当前时间往前90天,结束时间为历史事件投递任务关联的跟踪生效后5分钟。例如:您创建历史事件投递任务时关联跟踪A已经创建了40天,历史事件投递任务将投递跟踪A创建时间往前50天的历史事件。

说明
  • 历史事件投递任务仅支持将单账号跟踪的历史事件投递到日志服务SLS。
  • 一个阿里云账号同时只能存在一个正在运行的历史事件投递任务。

步骤一:创建单账号跟踪并将事件投递到日志服务SLS

  1. 登录操作审计控制台
  2. 在左侧导航栏,单击跟踪列表
  3. 在顶部菜单栏,选择您想创建单账号跟踪的地域。
    说明 该地域将成为单账号跟踪的Home地域,即创建跟踪的地域。
  4. 跟踪列表页面,单击创建跟踪
  5. 跟踪基本属性页面,输入跟踪名称,将管控事件的事件类型设置为所有事件,选中Insight事件,然后单击下一步
  6. 审计事件投递页面,选择将事件投递到日志服务SLS,然后选择投递到本账号,设置如下参数。
    参数 描述
    日志库所属地域 日志项目所在地域。
    日志项目名称 日志服务SLS中日志项目的名称。同一账号同一地域下,日志项目名称不能重复。
    • 当您选中创建新的日志项目时,将通过操作审计控制台新建日志项目,输入日志项目名称。
    • 当您选中选择已有的日志项目时,在日志服务SLS中选择已有日志项目名称。

      关于如何在日志服务SLS中新建日志项目,请参见快速入门

  7. 单击下一步
  8. 预览并创建页面,确认跟踪信息,然后单击提交

步骤二:创建历史事件投递任务

  1. 在左侧导航栏,单击历史事件投递任务
  2. 在顶部菜单栏,选择您需要投递历史事件的地域。
    说明 该地域必须与单账号跟踪所在地域相同。
  3. 历史事件投递任务页面,单击创建任务
  4. 创建任务页面,选择跟踪。
    说明 选择跟踪后,系统将自动填入跟踪的地域、日志项目地域、日志项目名称和日志库信息。
  5. 单击确定

步骤三(可选):查询完整的事件

  1. 在左侧导航栏,单击跟踪列表
  2. 在顶部菜单栏,选择您单账号跟踪和历史事件投递任务所在的地域。
  3. 跟踪列表页面,将鼠标悬浮到目标跟踪存储服务列的叹号图标,然后单击SLS日志库名称。
  4. 单击15分钟(相对),设置查询的时间范围。
  5. 单击查询/分析,查询事件。