操作審計默認為每個阿里云賬號記錄最近90天的事件。但在日常工作中,企業(yè)可能需要保留180天及以上的事件,也可能需要對已有的90天事件進行分析。此時需要將這些事件轉存到數據分析服務,或持續(xù)采集云上的事件并保存到指定存儲服務。這需要依賴操作審計的跟蹤功能實現。本文以創(chuàng)建單賬號跟蹤為例,為您介紹不同場景下通過跟蹤投遞事件的方法。
前提條件
請確保您已開通對象存儲OSS。具體操作,請參見開通OSS服務。
請確保您已開通日志服務SLS。
當您首次使用日志服務SLS時,需要登錄日志服務控制臺,根據頁面提示開通日志服務SLS。
請確保您已開通大數據計算服務MaxCompute。具體操作,請參見開通MaxCompute。
使用場景
使用操作審計創(chuàng)建跟蹤并投遞事件,可以滿足您不同場景需求。如果不創(chuàng)建跟蹤,您將無法追溯90天以前的事件。具體場景如下:
操作審計默認記錄最近90天的事件,為了滿足等保2.0(網絡安全等級保護2.0制度)將事件保存180天及以上的要求,您可以創(chuàng)建跟蹤持續(xù)采集事件并投遞到對象存儲OSS、日志服務SLS或大數據計算服務MaxCompute。默認情況下,投遞到OSS、SLS或MaxCompute的事件會永久保存。如果您需要將事件設置為僅保留180天,請參見OSS修改事件存儲時長或SLS修改事件存儲時長。
當您需要及時感知敏感操作(例如:產生訂單、刪除資源等)的發(fā)生時,您可以創(chuàng)建跟蹤將事件投遞到日志服務SLS,并在SLS對需要關注的敏感操作設置告警。
當您需要分析事件,而日志服務SLS的分析能力又不能滿足您的需求時,您可以使用分析能力更強大的大數據計算服務(MaxCompute)。MaxCompute為您提供多種經典的分布式計算模型,幫助您輕松完成大數據分析。推薦您創(chuàng)建跟蹤,將事件投遞到日志服務SLS,再通過SLS將數據導出到MaxCompute進行分析。
當您需要同時對事件進行實時分析和永久存儲時,需充分了解對象存儲OSS、日志服務SLS和大數據計算服務(MaxCompute)的功能特性及收費。三者收費情況為:SLS > MaxCompute > OSS,因此推薦您先將事件投遞到日志服務SLS進行分析,手動修改事件在SLS的存儲時長(存儲時長應該更好地滿足實時分析的時間跨度要求),然后定時將SLS中的數據導入到MaxCompute或OSS進行永久存儲。
場景一:將事件保存180天及以上
登錄操作審計控制臺。
在左側導航欄,單擊跟蹤。
在頂部導航欄選擇您想創(chuàng)建跟蹤的地域。
在跟蹤頁面,單擊創(chuàng)建跟蹤。
在創(chuàng)建跟蹤頁面,設置跟蹤的相關參數。
在基本信息區(qū)域,設置日志事件。
參數
說明
跟蹤名稱
跟蹤的名稱。同一阿里云賬號中跟蹤名稱不能重復。
跟蹤配置
將管控事件設置為所有事件。
在審計事件投遞區(qū)域,選擇投遞方式。
選擇將事件投遞到日志服務SLS,然后選擇投遞到本賬號。
創(chuàng)建新的日志項目:選擇日志庫所屬地域,設置日志項目名稱。
選擇已有的日志項目:選擇日志庫所屬地域和日志項目名稱。
選擇將事件投遞到對象存儲OSS,然后選擇投遞到本賬號。
創(chuàng)建新的存儲空間:設置存儲空間名稱、日志文件前綴、服務端加密情況和是否開啟合規(guī)保留。
選擇已有的存儲空間:選擇存儲空間名稱。
選擇將事件投遞到大數據計算服務MaxCompute,然后選擇投遞到本賬號。
設置大數據計算服務地域和大數據計算服務項目Quota。
單擊確認。
您可以執(zhí)行以下操作進入存儲服務的控制臺查看事件。
對象存儲OSS:單擊存儲空間名稱進入OSS管理控制臺查看事件。
日志服務SLS:單擊日志項目名稱或日志庫名稱,進入日志服務控制臺查看事件。
大數據計算服務MaxCompute:單擊MaxCompute項目名稱,進入MaxCompute控制臺查看事件。
場景二:對敏感操作進行分析和告警
登錄操作審計控制臺。
在左側導航欄,單擊跟蹤。
在頂部導航欄選擇您想創(chuàng)建跟蹤的地域。
在跟蹤頁面,單擊創(chuàng)建跟蹤。
在創(chuàng)建跟蹤頁面,設置跟蹤的相關參數。
在基本信息區(qū)域,設置日志事件。
參數
說明
跟蹤名稱
跟蹤的名稱。同一阿里云賬號中跟蹤名稱不能重復。
跟蹤配置
將管控事件設置為寫事件。
說明敏感操作多為寫事件,管控事件設置為寫事件可以減少審計事件數據量,從而節(jié)省成本。
在審計事件投遞區(qū)域,選擇將事件投遞到本賬號的日志服務。
創(chuàng)建新的日志項目:選擇日志庫所屬地域,設置日志項目名稱。
選擇已有的日志項目:選擇日志庫所屬地域和日志項目名稱。
單擊確認。
您可以單擊日志項目名稱或日志庫名稱,進入日志服務控制臺查看事件分析情況。
在日志服務控制臺設置告警。
具體操作,請參見設置告警。
場景三:通過MaxCompute分析事件
登錄操作審計控制臺。
在左側導航欄,單擊跟蹤。
在頂部導航欄選擇您想創(chuàng)建跟蹤的地域。
在跟蹤頁面,單擊創(chuàng)建跟蹤。
在創(chuàng)建跟蹤頁面,設置跟蹤的相關參數。
在基本信息區(qū)域,設置日志事件。
參數
說明
跟蹤名稱
跟蹤的名稱。同一阿里云賬號中跟蹤名稱不能重復。
跟蹤配置
將管控事件設置為所有事件。
在審計事件投遞區(qū)域,選擇將事件投遞到本賬號的日志服務。
創(chuàng)建新的日志項目:選擇日志庫所屬地域,設置日志項目名稱。
選擇已有的日志項目:選擇日志庫所屬地域和日志項目名稱。
單擊確認。
您可以單擊日志項目名稱或日志庫名稱,進入日志服務控制臺查看事件分析情況。
在日志服務控制臺將事件投遞到MaxCompute。
具體操作,請參見創(chuàng)建MaxCompute投遞任務(新版)。
說明事件投遞到MaxCompute后,您可以根據需求對事件進行分析。
場景四:低成本分析和永久存儲事件
使用操作審計創(chuàng)建跟蹤時,如果選擇了創(chuàng)建新的日志項目,則默認創(chuàng)建以actiontrail_<trail_name>開頭的Logstore,永久保存事件。為了節(jié)省成本,推薦您手動修改SLS事件存儲時長(例如:180天),再定時將SLS中的數據導入到MaxCompute或OSS進行永久存儲。
在操作審計控制臺創(chuàng)建跟蹤并將事件投遞到日志服務SLS。
關于如何創(chuàng)建跟蹤,請參見創(chuàng)建單賬號跟蹤。
在日志服務控制臺修改日志存儲時長。
登錄日志服務控制臺。
在Project列表區(qū)域,單擊事件對應的Project名稱。
單擊日志左側
圖標,然后單擊
圖標。在Logstore屬性頁面,單擊右上角的修改。
將數據保存時間修改為限定天數,并設置保存的天數,然后單擊頁面右上角保存。
在日志服務控制臺將事件投遞到MaxCompute或OSS。