多賬號跟蹤將把資源目錄內所有成員的事件投遞到多賬號跟蹤中設置的SLS Logstore、OSS存儲空間或大數據計算服務MaxCompute。本文為您介紹如何通過操作審計控制臺創建多賬號跟蹤。
前提條件
請確保您已經開通資源目錄。具體操作,請參見開通資源目錄。
背景信息
操作步驟
通過委派管理員賬號(或者管理賬號)登錄操作審計控制臺。
關于如何設置委派管理員賬號,請參見管理委派管理員賬號。
在左側導航欄,單擊跟蹤。
在頂部導航欄選擇您想創建多賬號跟蹤的地域。
說明該地域將成為多賬號跟蹤的Home地域,即創建跟蹤的地域。
在跟蹤頁面,單擊創建跟蹤。
在創建跟蹤頁面,設置跟蹤的相關參數。
基本信息
參數
說明
跟蹤名稱
跟蹤的名稱。您需要在阿里云賬號中設置唯一的名稱,該名稱將用于在SLS中對Logstore命名,命名規則為
actiontrail_<跟蹤名稱>
。日志事件
跟蹤投遞的事件。取值:管控事件,表示用戶管理云上資源時管控平面的操作記錄。
管控事件的事件類型如下:
所有事件:讀事件和寫事件。審計相關的法規和標準均強調對審計事件的完整記錄,建議您選擇所有事件。
寫事件:增加、刪除或修改云上資源的事件,例如:CreateInstance(創建一臺包年包月或者按量付費的ECS實例)。如果您僅導出事件進行自定義分析,且只關注會影響云資源的事件,則選擇寫事件。
讀事件:本身沒有在云上增加、刪除或修改配置的操作意圖,也不會對云上配置造成變更,僅讀取云服務資源信息的事件,例如:DescribeInstances(查詢一臺或多臺ECS實例的詳細信息)。讀事件一般事件量非常大,會占用較多存儲空間。但審計相關法規和標準均強調對審計事件的完整記錄,所以建議您同時投遞讀事件,以便完整還原AK的使用歷史和資源的訪問歷史。
說明當您通過操作審計控制臺創建跟蹤時,默認將跟蹤投遞的地域設置為全部地域。如果需要創建部分地域的跟蹤,請調用創建跟蹤接口設置TrailRegion參數。
應用到所有成員
跟蹤的應用范圍。取值:
是:該跟蹤為多賬號跟蹤,將收集管理賬號和所有成員的事件,投遞到統一的存儲空間。為避免遺漏事件,建議您選擇此選項。
否:該跟蹤將成為單賬號跟蹤,僅投遞當前賬號的事件。
說明此選項一旦選定不可更改。如果創建多賬號跟蹤后您需要修改應用到所有成員選項,則需要刪除多賬號跟蹤后重新創建。
創建多賬號跟蹤后,跟蹤頁面中的跟蹤類型列顯示多賬號跟蹤。
審計事件投遞
您可以將跟蹤分別投遞到日志服務SLS、對象存儲OSS或大數據計算服務MaxCompute,或者同時進行投遞。關于如何選擇存儲服務,請參見將事件持續投遞到指定服務。
說明目前投遞的事件范圍,是多賬號跟蹤生效后產生的新事件,不包括原有的最近90天事件。您可以創建數據回補投遞任務,將最近90天的事件一次性補投遞到您跟蹤指定的地址,最大限度、最大范圍滿足您的需求。具體操作,請參見創建數據回補投遞任務。
選擇將事件投遞到日志服務SLS
選擇投遞到本賬號,設置如下參數。
參數
描述
日志項目
選擇事件投遞到日志服務SLS的日志項目方式。
創建新的日志項目
選擇已有的日志項目
日志庫所屬地域
日志項目所在地域。
日志項目名稱
日志服務SLS中日志項目的名稱。
說明日志項目名稱為所有阿里云用戶共用,不可重復。
當您選中創建新的日志項目時,將通過操作審計控制臺新建日志項目,輸入日志項目名稱。
當您選中選擇已有的日志項目時,在日志服務SLS中選擇已有日志項目名稱。
說明投遞成功后操作審計會自動創建一個名為
actiontrail_<跟蹤名稱>
的日志庫(Logstore),該Logstore會自動幫您設置審計最佳配置,創建查詢所需索引和儀表盤,并禁止用戶寫入,保證審計數據的準確性。您無需提前創建Logstore。選擇投遞到其他賬號,設置日志項目ARN和日志寫入角色ARN。
選擇投遞到其他賬號時需要先在目標賬號中創建RAM角色,授予操作審計服務向目標賬號投遞事件的權限,并提前創建日志項目。具體操作,請參見將資源目錄中多個成員的事件投遞到同一賬號。
選擇將事件投遞到對象存儲OSS
選擇投遞到本賬號,設置如下參數。
參數
描述
存儲空間
選擇事件投遞到對象存儲OSS的存儲空間方式。
創建新的存儲空間
選擇已有的存儲空間
存儲空間名稱
對象存儲OSS中存儲空間的名稱。同一賬號下,存儲空間名稱不能重復。
當您選中創建新的存儲空間時,通過操作審計控制臺新建存儲空間,輸入存儲空間名稱。
當您選中選擇已有的存儲空間時,在對象存儲OSS中選擇已有存儲空間名稱。
日志文件前綴
事件存放的日志文件前綴,方便后續查找事件。
開啟服務端加密
存儲空間中的日志文件是否加密。當您選中創建新的存儲空間時,需要設置該參數。取值:
不開啟
OSS完全托管
KMS
說明關于OSS服務器加密功能,請參見服務器端加密。
開啟合規保留
您可以在合規保留策略的保留周期內以“不可刪除、不可篡改”的方式保存和使用OSS數據。
取值:
不開啟
開啟
選擇投遞到其他賬號,設置存儲空間角色ARN、存儲空間名稱和日志文件前綴。
選擇投遞到其他賬號時需要先在目標賬號中創建RAM角色,授予操作審計服務向目標賬號投遞事件的權限,并提前創建OSS存儲空間。具體操作,請參見將資源目錄中多個成員的事件投遞到同一賬號。
選擇將事件投遞到大數據計算服務MaxCompute
選擇投遞到本賬號,設置如下參數。
參數
描述
大數據計算服務地域
投遞數據的大數據計算服務項目所在地域。
說明操作審計會將審計日志投遞至大數據計算服務指定地域下的actiontrail_<阿里云賬號ID> 項目中。因大數據計算服務項目名稱賬號下唯一,若賬號下已有actiontrail_<阿里云賬號ID> 的項目,將默認投遞至已有項目下。
大數據計算服務項目Quota
大數據計算服務的配額。
說明創建跟蹤首次投遞到大數據計算服務時,需要選擇大數據計算服務的配額,若當前地域下無可選配額,請選擇其他大數據計算服務地域。
選擇投遞到其他賬號,設置大數據計算服務ARN和大數據計算服務寫入角色ARN。
選擇投遞到其他賬號時需要先在目標賬號中創建RAM角色,授予操作審計服務向目標賬號投遞事件的權限,并提前創建大數據計算服務項目。具體操作,請參見將多個阿里云賬號的事件投遞到同一賬號。
單擊確認。
執行結果
創建多賬號跟蹤后,事件會以JSON格式保存在SLS Logstore、OSS存儲空間或大數據計算服務MaxCompute數據表中。您可以通過管理賬號在日志服務SLS、對象存儲OSS或大數據計算服務MaxCompute中查看已投遞的事件。
管理賬號僅能在對象存儲OSS、日志服務SLS或大數據計算服務MaxCompute中看到資源目錄中成員的事件,不能通過操作審計控制臺的事件查詢或LookupEvents
接口查詢成員的事件。
日志服務SLS:操作審計會自動創建一個名為
actiontrail_<跟蹤名稱>
的日志庫(Logstore)。您可以在跟蹤頁面將鼠標懸浮到跟蹤對應存儲服務列的內容上,然后單擊SLS日志庫名稱。對象存儲OSS:各成員中產生的全局事件,將與Home地域的事件放在一起。非全局事件存放在資源歸屬的地域目錄下。您可以通過Elastic MapReduce服務或自行授予第三方日志分析服務分析此事件的權限。
您也可以在跟蹤頁面將鼠標懸浮到跟蹤對應存儲服務列的內容上,然后單擊OSS Bucket名稱,最后選擇事件投遞到OSS存儲空間后,存儲路徑是怎樣的?。
。關于OSS存儲路徑的更多信息,請參見大數據計算服務MaxCompute:操作審計會自動創建一個名為actiontrail_<跟蹤名稱>的數據表(Table)。您可以在跟蹤頁面將鼠標懸浮到跟蹤對應存儲服務列的內容上,然后單擊MaxCompute項目名稱。通過使用DataWorks連接的方式查詢大數據計算服務項目中actiontrail_<跟蹤名稱>表格存儲的日志數據。
相關文檔
創建跟蹤后,您可在對應的存儲服務中查詢成員的事件,具體操作,請參見通過SLS或OSS控制臺查詢事件。
當您創建跟蹤將事件投遞到日志服務SLS時,可通過高級查詢功能查詢成員的事件。具體操作,請參見自定義查詢事件。