创建单账号跟踪可以将事件投递到对象存储OSS或日志服务SLS,以便对事件进行分析。操作审计默认为每个阿里云账号记录最近90天的事件,如果不创建跟踪,您将无法追溯90天以前的事件。本文为您介绍如何通过操作审计控制台创建单账号跟踪。

背景信息

Insight事件需要申请才能使用。更多信息,请参见Insight事件概览

操作步骤

  1. 登录操作审计控制台
  2. 在左侧导航栏,单击跟踪列表
  3. 在顶部导航栏选择您想创建单账号跟踪的地域。
    说明 该地域将成为单账号跟踪的Home地域,即创建跟踪的地域。
  4. 跟踪列表页面,单击创建跟踪
  5. 跟踪基本属性页面,设置如下参数,单击下一步
    参数 说明
    跟踪名称 跟踪的名称。您需要在阿里云账号中设置唯一的名称,该名称将用于在SLS中对Logstore命名。
    日志事件 跟踪投递的事件。取值:
    • 管控事件:系统默认选中管控事件,请选择事件类型。
      • 所有事件:读事件和写事件。审计相关的法规和标准均强调对审计事件的完整记录,建议您选择所有事件
      • 写事件:增加、删除或修改云上资源的事件,例如:CreateInstance (创建一台包年包月或者按量付费的ECS实例)。如果您仅导出事件进行自定义分析,且只关注会影响云资源的事件,则选择写事件
      • 读事件:本身没有在云上增加、删除或修改配置的操作意图,也不会对云上配置造成变更,仅读取云服务资源信息的事件,例如:DescribeInstances(查询一台或多台ECS实例的详细信息)。读事件一般事件量非常大,会占用较多存储空间。但审计相关法规和标准均强调对审计事件的完整记录,所以建议您同时投递读事件,以便完整还原AK的使用历史和资源的访问历史。
    • Insight事件:请根据实际情况选择。选中Insight事件后,操作审计会同步投递IP异常调用事件。
    说明
    • 当您通过操作审计控制台创建跟踪时,默认将跟踪投递的地域设置为全部地域。如果需要创建部分地域的跟踪,请调用CreateTrail接口设置TrailRegion参数。
    • 如果需要选择Insight事件,请先将事件类型设置为全部事件。
  6. 审计事件投递页面,选择投递方式,单击下一步
    您可以将跟踪分别投递到日志服务SLS或对象存储OSS,或者同时进行投递。关于如何选择存储服务,请参见将事件持续投递到指定服务
    说明 目前投递的事件范围,是单账号跟踪生效后产生的新事件,不包括原有的最近90天事件。您可以创建历史事件投递任务,将最近90天的事件一次性补投递到您跟踪指定的地址,最大限度、最大范围满足您的需求。具体操作,请参见创建历史事件投递任务
    • 选择将事件投递到日志服务SLS
      • 选择投递到本账号,设置如下参数。
        参数 描述
        日志库所属地域 日志项目所在地域。
        日志项目名称 日志服务SLS中日志项目的名称。同一账号同一地域下,日志项目名称不能重复。
        • 当您选中创建新的日志项目时,将通过操作审计控制台新建日志项目,输入日志项目名称。
        • 当您选中选择已有的日志项目时,在日志服务SLS中选择已有日志项目名称。

          关于如何在日志服务SLS中新建日志项目,请参见快速入门

      • 选择投递到其他账号,设置日志项目ARN日志写入角色ARN

        选择投递到其他账号时需要先在目标账号中创建RAM角色,授予操作审计服务向目标账号投递事件的权限,并提前创建日志项目。具体操作,请参见将多个阿里云账号的事件投递到同一账号

    • 选择将事件投递到对象存储OSS
      • 选择投递到本账号,设置如下参数。
        参数 描述
        存储桶名称 对象存储OSS中存储空间的名称。同一账号同一地域下,存储空间名称不能重复。
        • 当您选中创建新的存储桶时,通过操作审计控制台新建存储空间,输入存储空间名称。
        • 当您选中选择已有的存储桶时,在对象存储OSS中选择已有存储空间名称。

          关于如何在对象存储OSS中创建存储空间,请参见创建存储空间

        日志文件前缀 事件存放的日志文件前缀,方便后续查找事件。
        开启服务端加密 存储空间中的日志文件是否加密。当您选中创建新的存储桶时,需要设置该参数。取值:
        • OSS完全托管
        • KMS
        说明 关于OSS服务器加密功能,请参见服务器端加密
      • 选择投递到其他账号,设置存储空间角色ARN存储空间名称日志文件前缀

        选择投递到其他账号时需要先在目标账号中创建RAM角色,授予操作审计服务向目标账号投递事件的权限,并提前创建OSS存储空间。具体操作,请参见将多个阿里云账号的事件投递到同一账号

  7. 预览并创建页面,确认跟踪信息,单击提交
    您可以单击查看跟踪详情,查看跟踪详细信息。

执行结果

创建单账号跟踪后,事件会以JSON格式保存在SLS Logstore或OSS存储空间中,便于您对事件进行查询和分析。您可以在日志服务SLS或对象存储OSS中查看事件:

  • 日志服务SLS:操作审计会自动创建一个名为actiontrail_<单账号跟踪名称>的日志库(Logstore)。您可以在跟踪列表页面将鼠标悬浮到跟踪对应存储服务列的叹号图标,然后单击SLS日志库名称分析事件。
  • 对象存储OSS:您可以通过Elastic MapReduce服务或自行授予第三方日志分析服务分析此事件的权限。
    您也可以在跟踪列表页面将鼠标悬浮到跟踪对应存储服务列的叹号图标,然后单击跟OSS Bucket名称,最后单击文件管理查看事件。OSS存储路径格式如下:
    • 管控事件:oss://<bucket>/<日志文件前缀>/AliyunLogs/Actiontrail/<region>/<年>/<月>/<日>/<日志文件>
    • Insight事件:oss://<bucket>/<日志文件前缀>/AliyunLogs/Actiontrail-Insight/<region>/<年>/<月>/<日>/<日志文件>