本文为您介绍如何通过操作审计控制台创建单账号跟踪。创建单账号跟踪可以将操作事件投递到对象存储OSS或日志服务SLS,以便对操作事件进行分析。如果未创建跟踪,操作审计控制台仅能查看最近90天的操作事件。

操作步骤

  1. 登录操作审计控制台
  2. 在顶部导航栏选择您想创建单账号跟踪的地域。
    说明 该地域将成为单账号跟踪的Home地域,即创建跟踪的地域。
  3. 在左侧导航栏,选择操作审计 > 创建跟踪
  4. 跟踪基本属性页面,设置如下参数,单击下一步
    参数 说明
    跟踪名称 跟踪的名称。您需要在阿里云账号中设置唯一的名称。
    跟踪的地域 投递跟踪的地域。
    • 全部地域:操作审计会投递所有地域的操作事件。
    • 部分地域:选择地域,操作审计仅投递您选中地域的操作事件。
    说明 Home地域指创建跟踪的地域,跟踪的地域指将哪些地域的操作事件进行投递。如果您只需要投递部分地域的操作事件,建议您将Home地域和跟踪的地域选择为相同地域。
    事件类型 阿里云操作事件的类型。
    • 写事件:增加、删除或修改云上资源的事件,例如:CreateInstance (创建一台包年包月或者按量付费的ECS实例)。如果您仅导出操作事件进行自定义分析,且只关注会影响云资源的事件,则选择写事件
    • 读事件:本身没有在云上增加、删除或修改配置的操作意图,也不会对云上配置造成变更,仅读取云服务资源信息的事件,例如:DescribeInstances(查询一台或多台ECS实例的详细信息)。读事件一般事件量非常大,会占用较多存储空间,不推荐选择。
    • 所有事件:读事件和写事件。如果您需要投递阿里云账号下所有操作事件,则选择所有事件
  5. 审计事件投递页面,选择投递方式,单击下一步
    说明 目前投递的操作事件范围,是单账号跟踪生效后产生的新事件,不包括原有的最近90天操作事件。后续我们会默认将最近90天的操作事件一次性投递给您,最大限度、最大范围满足您的需求。
    • 选择将事件投递到日志服务SLS时,设置如下参数。
      参数 描述
      日志库所属地域 日志项目所在地域。
      日志项目名称 日志服务SLS中日志项目的名称。同一账号同一地域下,日志项目名称不能重复。
      • 当您选中创建新的日志项目时,通过操作审计控制台新建日志项目,输入日志项目名称。

        在日志服务SLS中新建日志项目的操作方法,请参见快速入门

      • 当您选中选择已有的日志项目时,在日志服务SLS中选择已有日志项目名称。
    • 选择将事件投递到对象存储OSS时,设置如下参数。
      参数 描述
      存储桶名称 对象存储OSS中存储桶的名称。同一账号同一地域下,存储桶名称不能重复。
      • 当您选中创建新的存储桶时,通过操作审计控制台新建存储桶,输入存储桶名称。

        在对象存储OSS中新建存储桶的操作方法,请参见创建存储空间

      • 当您选中选择已有的存储桶时,在对象存储OSS中选择已有存储桶名称。
      日志文件前缀 操作事件存放的日志文件前缀。
      开启服务端加密 存储桶中的日志文件是否加密。当您选中创建新的存储桶时,需要设置该参数。
      取值:
      • AES256
      • KMS
      说明 关于OSS服务器加密功能,请参见服务器端加密
  6. 预览并创建页面,确认跟踪信息,单击提交

执行结果

创建单账号跟踪后,操作事件会以JSON格式保存在OSS Bucket或SLS Logstore中,便于您对操作事件进行查询和分析。您可以在对象存储OSS或日志服务SLS中查看操作事件:

  • 对象存储OSS:您可以通过Elastic MapReduce服务或自行授权第三方日志分析服务来分析此操作事件。

    OSS存储路径格式:

    oss://<bucket>/<日志文件前缀>/AliyunLogs/Actiontrail/<region>/<年>/<月>/<日>/<日志文件>
  • 日志服务SLS:操作审计会自动创建一个名为actiontrail_单账号跟踪名称的Logstore,以及操作事件的索引和图表。

    更多详细信息,请参见ActionTrail访问日志

    SLS