前提條件

• 請(qǐng)確保您已開通日志服務(wù)SLS、對(duì)象存儲(chǔ)OSS或大數(shù)據(jù)計(jì)算服務(wù)MaxCompute。具體操作，請(qǐng)參見開通日志服務(wù)、開通OSS服務(wù)和開通MaxCompute。

  說明

  開通日志服務(wù)SLS、對(duì)象存儲(chǔ)OSS或大數(shù)據(jù)計(jì)算服務(wù)MaxCompute是不收取任何費(fèi)用的，將事件投遞到對(duì)應(yīng)的存儲(chǔ)服務(wù)后，并使用其查詢和分析功能需要收費(fèi)。具體計(jì)費(fèi)標(biāo)準(zhǔn)，請(qǐng)參見日志服務(wù)計(jì)費(fèi)概述、對(duì)象存儲(chǔ)計(jì)費(fèi)概述和MaxCompute計(jì)費(fèi)概述。

• 請(qǐng)確保您已經(jīng)通過提交工單，獲取數(shù)據(jù)回補(bǔ)功能的使用權(quán)限。

步驟一：創(chuàng)建跟蹤

本文以創(chuàng)建單賬號(hào)跟蹤并投遞到日志服務(wù)SLS為例，為您介紹如何創(chuàng)建您的第一個(gè)跟蹤。

1. 登錄操作審計(jì)控制臺(tái)。

2. 在左側(cè)導(dǎo)航欄，單擊跟蹤。

3. 在頂部菜單欄，選擇您想創(chuàng)建單賬號(hào)跟蹤的地域。

   說明

   該地域?qū)⒊蔀閱钨~號(hào)跟蹤的Home地域，即創(chuàng)建跟蹤的地域。

4. 在跟蹤頁面，單擊創(chuàng)建跟蹤。

5. 在創(chuàng)建跟蹤頁面，設(shè)置跟蹤的相關(guān)參數(shù)。

   • 在基本信息區(qū)域，設(shè)置跟蹤名稱和管控事件類型。

     說明

     系統(tǒng)默認(rèn)將跟蹤投遞的地域設(shè)置為全部地域。推薦您將管控事件設(shè)置為所有事件，以便跟蹤全部地域的全部事件。關(guān)于參數(shù)的更多信息，請(qǐng)參見創(chuàng)建單賬號(hào)跟蹤。

   • 在審計(jì)事件投遞區(qū)域，設(shè)置將跟蹤投遞到本賬號(hào)的日志服務(wù)SLS。

     參數(shù)	描述
     日志庫所屬地域	日志項(xiàng)目所在地域。
     日志項(xiàng)目名稱	日志服務(wù)SLS中日志項(xiàng)目的名稱。 說明 日志項(xiàng)目名稱為所有阿里云用戶共用，不可重復(fù)。 當(dāng)您選中創(chuàng)建新的日志項(xiàng)目時(shí)，將通過操作審計(jì)控制臺(tái)新建日志項(xiàng)目，輸入日志項(xiàng)目名稱。 當(dāng)您選中選擇已有的日志項(xiàng)目時(shí)，在日志服務(wù)SLS中選擇已有日志項(xiàng)目名稱。 關(guān)于如何在日志服務(wù)SLS中新建日志項(xiàng)目，請(qǐng)參見快速入門。

6. 單擊確認(rèn)。

步驟二（可選）：創(chuàng)建數(shù)據(jù)回補(bǔ)投遞任務(wù)

創(chuàng)建跟蹤僅能投遞跟蹤創(chuàng)建時(shí)間之后的事件，如果您需要存儲(chǔ)最近90天的事件，您還需要?jiǎng)?chuàng)建數(shù)據(jù)回補(bǔ)任務(wù)，該任務(wù)會(huì)回補(bǔ)最近90天的事件。

關(guān)于數(shù)據(jù)回補(bǔ)功能的更多信息，請(qǐng)參見創(chuàng)建數(shù)據(jù)回補(bǔ)投遞任務(wù)。

1. 在左側(cè)導(dǎo)航欄，單擊數(shù)據(jù)回補(bǔ)。

2. 在頂部導(dǎo)航欄選擇您需要投遞任務(wù)的地域。

   說明

   該地域必須與跟蹤所在地域相同。

3. 在數(shù)據(jù)回補(bǔ)頁面，單擊創(chuàng)建任務(wù)。

4. 在創(chuàng)建任務(wù)頁面，選擇跟蹤。

   說明

   選擇跟蹤后，系統(tǒng)將自動(dòng)填入跟蹤的地域、日志項(xiàng)目地域、日志項(xiàng)目名稱和日志庫信息。

5. 單擊確定。

   創(chuàng)建任務(wù)后，您可以在數(shù)據(jù)回補(bǔ)頁面查看關(guān)聯(lián)跟蹤、可補(bǔ)跟蹤歷史范圍、投遞狀態(tài)、任務(wù)創(chuàng)建時(shí)間、任務(wù)完成時(shí)間等信息。

步驟三：進(jìn)行事件高級(jí)查詢

1. 在左側(cè)導(dǎo)航欄，單擊跟蹤。

2. 在跟蹤頁面，打開目標(biāo)跟蹤名稱對(duì)應(yīng)高級(jí)查詢列的開關(guān)。

3. 在自定義模板的Default頁簽，設(shè)置事件的查詢條件。

   • 簡(jiǎn)單查詢

     在簡(jiǎn)單查詢模式下，根據(jù)界面提示設(shè)置查詢條件。

   • SQL查詢

     關(guān)閉簡(jiǎn)單查詢開關(guān)，輸入SQL查詢條件。

     說明

     • 關(guān)于高級(jí)查詢的SQL語法和查詢示例，請(qǐng)參見高級(jí)查詢的SQL語法。

     • 當(dāng)簡(jiǎn)單查詢不能滿足您的需求時(shí)，您可以先在簡(jiǎn)單查詢模式下，根據(jù)界面提示設(shè)置查詢條件，再關(guān)閉簡(jiǎn)單查詢開關(guān)。您在簡(jiǎn)單查詢模式下設(shè)置的查詢條件會(huì)自動(dòng)轉(zhuǎn)換為SQL語句，您可以對(duì)該SQL查詢條件進(jìn)行定制。

4. 設(shè)置查詢事件的時(shí)間段，單擊運(yùn)行。

   說明

   • 操作審計(jì)默認(rèn)查詢7天的事件。

   • 您可以單擊右側(cè)的事件告警，為當(dāng)前事件設(shè)置告警。具體操作，請(qǐng)參見創(chuàng)建自定義告警規(guī)則。

   • 您可以對(duì)系統(tǒng)模板默認(rèn)的SQL語句進(jìn)行修改，然后單擊保存，將其另存為自定義模板，進(jìn)行二次應(yīng)用。

5. 查看事件的查詢結(jié)果。

   • 原始日志

     在原始日志頁簽，單擊目標(biāo)事件對(duì)應(yīng)操作列的查看事件詳情，查看事件的基本信息和JSON格式。

   • 直方圖

     在查詢直方圖頁簽，查看事件發(fā)生的直方圖。

后續(xù)步驟

當(dāng)您將事件投遞到SLS、OSS或MaxCompute后，還可以通過SLS、OSS、MaxCompute查詢或分析事件。具體操作，請(qǐng)參見：

• 通過SLS或OSS控制臺(tái)查詢事件

• 通過SLS控制臺(tái)分析事件

• 導(dǎo)入OSS數(shù)據(jù)

• 使用DataWorks連接

相關(guān)文檔

• 關(guān)于查詢與分析事件詳情的具體操作，請(qǐng)參見查詢和分析日志。

• 關(guān)于將操作事件下載到本地進(jìn)行分析的相關(guān)操作，請(qǐng)參見下載操作審計(jì)的事件。

• 當(dāng)您在查詢與分析事件時(shí)，可能會(huì)遇到一些問題，具體詳情，請(qǐng)參見查詢與分析常見問題。