本文解释了操作审计的基本概念,帮助您正确理解和使用操作审计。

概念 说明
企业管理账号

企业管理账号是资源目录的超级管理员,也是开通资源目录的初始账号,对其创建的资源目录和成员账号拥有完全控制权限。只有通过企业实名认证的阿里云账号才能开通资源目录,每个资源目录有且只有一个企业管理账号。

成员账号

在资源目录内,成员账号作为资源容器,是一种资源分组单位。成员账号通常用于指代一个项目或应用,每个成员账号中的资源相对其他成员账号中的资源是物理隔离的。您可以通过企业管理账号授予RAM用户、RAM用户组或RAM角色对成员账号内资源的访问权限。

成员账号被企业管理账号邀请进入资源目录,或由企业管理账号在资源目录内直接创建。

事件 事件是用户通过阿里云控制台、OpenAPI、开发者工具访问和管控云上服务所产生的事件记录。事件包含时间、人员、资源、操作类型、操作结果、来源IP等信息。根据事件来源的不同分为管控事件和Insight事件。
管控事件 管控事件是用户管理云上资源时,管控平面的操作记录(例如:RDS实例、OSS存储空间的创建、删除),但不包括数据平面的操作记录(例如:RDS实例内的表操作、OSS对象的操作)。
Insight事件 Insight事件是帮助用户从管控事件中发现异常行为的事件。基于管控事件的分析结果,Insight事件呈现了一种异常情况的发生。目前仅支持IPInsight事件。您在跟踪中启用IPInsight事件功能后,操作审计会基于过去已有的管控操作事件分析出常规的来访IP特征,然后判断新的来访IP是否为异常IP。当发现一个异常IP,将生成一个IPInsight事件向您通报异常IP的情况。
全局服务 全局服务是不区分地域的服务,例如:RAM。全局服务会产出全局事件。
全局事件 全局事件是全局服务的事件。在操作审计控制台的事件查询页面,选择任意地域均可看到全量的全局事件。但当事件被投递到用户设置的OSS存储空间时,全局事件与跟踪的Home地域事件放在同一个目录下。
Home地域 Home地域是发起创建跟踪操作的地域。
跟踪 跟踪是一种配置,用于将事件保存到指定的OSS存储空间或SLS Logstore,以便进一步分析和存储。根据创建者、作用范围和投递内容的不同分为单账号跟踪、多账号跟踪和平台事件跟踪。
单账号跟踪 单账号跟踪是阿里云账号创建的用于记录当前账号事件的跟踪。
多账号跟踪 多账号跟踪是企业管理账号创建的用于记录所有成员账号事件的跟踪。多账号跟踪会把所有成员账号的事件投递到多账号跟踪设置的OSS存储空间或SLS Logstore。
平台事件 平台事件是阿里云运维团队针对用户服务的维护操作所产生的事件。您可以通过平台操作审计创建跟踪,记录此类事件。
平台事件跟踪 平台事件跟踪是阿里云账号创建的用于记录平台事件的跟踪。
影子跟踪 如果您创建跟踪的同时追踪了多个地域的事件,则操作审计会在相关地域创建相同配置的跟踪来收集这些地域的事件,这种跟踪叫做影子跟踪。