操作步驟

1. 登錄操作審計(jì)控制臺(tái)。

2. 在左側(cè)導(dǎo)航欄，單擊跟蹤。

3. 在頂部導(dǎo)航欄選擇您想創(chuàng)建單賬號(hào)跟蹤的地域。

   說(shuō)明

   該地域?qū)⒊蔀閱钨~號(hào)跟蹤的Home地域，即創(chuàng)建跟蹤的地域。

4. 在跟蹤頁(yè)面，單擊創(chuàng)建跟蹤。

5. 在創(chuàng)建跟蹤頁(yè)面，設(shè)置跟蹤的相關(guān)參數(shù)。

   • 基本信息

     參數(shù)	說(shuō)明
     跟蹤名稱(chēng)	跟蹤的名稱(chēng)，該名稱(chēng)將用于在SLS中對(duì)Logstore命名。 說(shuō)明 跟蹤名稱(chēng)不可重復(fù)。
     跟蹤配置	跟蹤投遞的事件。取值： 管控事件：系統(tǒng)默認(rèn)選中管控事件，請(qǐng)選擇事件類(lèi)型。取值： 所有事件：讀事件和寫(xiě)事件。審計(jì)相關(guān)的法規(guī)和標(biāo)準(zhǔn)均強(qiáng)調(diào)對(duì)審計(jì)事件的完整記錄，建議您選擇所有事件。 寫(xiě)事件：增加、刪除或修改云上資源的事件，例如：CreateInstance （創(chuàng)建一臺(tái)包年包月或者按量付費(fèi)的ECS實(shí)例）。如果您僅導(dǎo)出事件進(jìn)行自定義分析，且只關(guān)注會(huì)影響云資源的事件，則選擇寫(xiě)事件。 讀事件：本身沒(méi)有在云上增加、刪除或修改配置的操作意圖，也不會(huì)對(duì)云上配置造成變更，僅讀取云服務(wù)資源信息的事件，例如：DescribeInstances（查詢(xún)一臺(tái)或多臺(tái)ECS實(shí)例的詳細(xì)信息）。讀事件一般事件量非常大，會(huì)占用較多存儲(chǔ)空間。但審計(jì)相關(guān)法規(guī)和標(biāo)準(zhǔn)均強(qiáng)調(diào)對(duì)審計(jì)事件的完整記錄，所以建議您同時(shí)投遞讀事件，以便完整還原AccessKey的使用歷史和資源的訪(fǎng)問(wèn)歷史。 Insights事件：請(qǐng)根據(jù)實(shí)際情況選擇。選中Insights事件后，管控事件的事件類(lèi)型會(huì)默認(rèn)選中所有事件，操作審計(jì)會(huì)基于管控事件識(shí)別存在風(fēng)險(xiǎn)的API調(diào)用事件、API錯(cuò)誤事件、IP請(qǐng)求事件、AccessKey調(diào)用事件、權(quán)限變更事件、密碼變更事件和隱匿行蹤事件并生成Insights事件。關(guān)于Insights事件的更多信息，請(qǐng)參見(jiàn)Insights事件概覽。 說(shuō)明 當(dāng)您通過(guò)操作審計(jì)控制臺(tái)創(chuàng)建跟蹤時(shí)，默認(rèn)將跟蹤投遞的地域設(shè)置為全部地域。如果需要?jiǎng)?chuàng)建部分地域的跟蹤，請(qǐng)調(diào)用創(chuàng)建跟蹤接口設(shè)置TrailRegion參數(shù)。

   • 審計(jì)事件投遞

     您可以將跟蹤分別投遞到日志服務(wù)SLS、對(duì)象存儲(chǔ)OSS或大數(shù)據(jù)計(jì)算服務(wù)MaxCompute，或者同時(shí)進(jìn)行投遞。關(guān)于如何選擇存儲(chǔ)服務(wù)，請(qǐng)參見(jiàn)將事件持續(xù)投遞到指定服務(wù)。

     說(shuō)明

     目前投遞的事件范圍，是單賬號(hào)跟蹤生效后產(chǎn)生的新事件，不包括原有的最近90天事件。您可以創(chuàng)建數(shù)據(jù)回補(bǔ)投遞任務(wù)，將最近90天的事件一次性補(bǔ)投遞到您跟蹤指定的地址，最大限度、最大范圍滿(mǎn)足您的需求。具體操作，請(qǐng)參見(jiàn)創(chuàng)建數(shù)據(jù)回補(bǔ)投遞任務(wù)。

     • 選擇將事件投遞到日志服務(wù)SLS

       • 選擇投遞到本賬號(hào)，設(shè)置如下參數(shù)。

         參數(shù)	描述
         日志項(xiàng)目	選擇事件投遞到日志服務(wù)SLS的日志項(xiàng)目方式。 創(chuàng)建新的日志項(xiàng)目 選擇已有的日志項(xiàng)目
         日志庫(kù)所屬地域	日志項(xiàng)目所在地域。
         日志項(xiàng)目名稱(chēng)	日志服務(wù)SLS中日志項(xiàng)目的名稱(chēng)。 說(shuō)明 日志項(xiàng)目名稱(chēng)為所有阿里云用戶(hù)共用，不可重復(fù)。 當(dāng)您選中創(chuàng)建新的日志項(xiàng)目時(shí)，將通過(guò)操作審計(jì)控制臺(tái)新建日志項(xiàng)目，輸入日志項(xiàng)目名稱(chēng)。 當(dāng)您選中選擇已有的日志項(xiàng)目時(shí)，在日志服務(wù)SLS中選擇已有日志項(xiàng)目名稱(chēng)。 關(guān)于如何在日志服務(wù)SLS中新建日志項(xiàng)目，請(qǐng)參見(jiàn)快速入門(mén)。 說(shuō)明 投遞成功后操作審計(jì)會(huì)自動(dòng)創(chuàng)建一個(gè)名為actiontrail_<跟蹤名稱(chēng)>的日志庫(kù)（Logstore），該Logstore會(huì)自動(dòng)幫您設(shè)置審計(jì)最佳配置，創(chuàng)建查詢(xún)所需索引和儀表盤(pán)，并禁止用戶(hù)寫(xiě)入，保證審計(jì)數(shù)據(jù)的準(zhǔn)確性。您無(wú)需提前創(chuàng)建Logstore。

       • 選擇投遞到其他賬號(hào)，設(shè)置日志項(xiàng)目ARN和日志寫(xiě)入角色ARN。

         選擇投遞到其他賬號(hào)時(shí)需要先在目標(biāo)賬號(hào)中創(chuàng)建RAM角色，授予操作審計(jì)服務(wù)向目標(biāo)賬號(hào)投遞事件的權(quán)限，并提前創(chuàng)建日志項(xiàng)目。具體操作，請(qǐng)參見(jiàn)將多個(gè)阿里云賬號(hào)的事件投遞到同一賬號(hào)。

     • 選擇將事件投遞到對(duì)象存儲(chǔ)OSS

       • 選擇投遞到本賬號(hào)，設(shè)置如下參數(shù)。

         參數(shù)	描述
         存儲(chǔ)空間	選擇事件投遞到對(duì)象存儲(chǔ)OSS的存儲(chǔ)空間方式。 創(chuàng)建新的存儲(chǔ)空間 選擇已有的存儲(chǔ)空間
         存儲(chǔ)空間名稱(chēng)	對(duì)象存儲(chǔ)OSS中存儲(chǔ)空間的名稱(chēng)。同一賬號(hào)下，存儲(chǔ)空間名稱(chēng)不能重復(fù)。 當(dāng)您選中創(chuàng)建新的存儲(chǔ)空間時(shí)，通過(guò)操作審計(jì)控制臺(tái)新建存儲(chǔ)空間，輸入存儲(chǔ)空間名稱(chēng)。 當(dāng)您選中選擇已有的存儲(chǔ)空間時(shí)，在對(duì)象存儲(chǔ)OSS中選擇已有存儲(chǔ)空間名稱(chēng)。 關(guān)于如何在對(duì)象存儲(chǔ)OSS中創(chuàng)建存儲(chǔ)空間，請(qǐng)參見(jiàn)創(chuàng)建存儲(chǔ)空間。
         日志文件前綴	事件存放的日志文件前綴，方便后續(xù)查找事件。
         開(kāi)啟服務(wù)端加密	存儲(chǔ)空間中的日志文件是否加密。當(dāng)您選中創(chuàng)建新的存儲(chǔ)空間時(shí)，需要設(shè)置該參數(shù)。取值： OSS完全托管：使用OSS托管的密鑰進(jìn)行加密。OSS會(huì)為每個(gè)Object使用不同的密鑰進(jìn)行加密，作為額外的保護(hù)，OSS會(huì)使用定期輪轉(zhuǎn)的主密鑰對(duì)加密密鑰本身進(jìn)行加密。 KMS：使用密鑰管理KMS進(jìn)行加密。使用KMS加密方式前，需要開(kāi)通KMS服務(wù)。具體步驟，請(qǐng)參見(jiàn)購(gòu)買(mǎi)和啟用KMS實(shí)例。 不開(kāi)啟：不啟用服務(wù)器端加密。
         開(kāi)啟合規(guī)保留	對(duì)象存儲(chǔ)OSS支持WORM特性，您可以在合規(guī)保留策略的保留周期內(nèi)以“不可刪除、不可篡改”的方式保存和使用OSS數(shù)據(jù)。取值： 不開(kāi)啟（默認(rèn)值） 開(kāi)啟

       • 選擇投遞到其他賬號(hào)，設(shè)置存儲(chǔ)空間角色ARN、存儲(chǔ)空間名稱(chēng)和日志文件前綴。

         選擇投遞到其他賬號(hào)時(shí)需要先在目標(biāo)賬號(hào)中創(chuàng)建RAM角色，授予操作審計(jì)服務(wù)向目標(biāo)賬號(hào)投遞事件的權(quán)限，并提前創(chuàng)建OSS存儲(chǔ)空間。具體操作，請(qǐng)參見(jiàn)將多個(gè)阿里云賬號(hào)的事件投遞到同一賬號(hào)。

     • 選擇將事件投遞到大數(shù)據(jù)計(jì)算服務(wù)MaxCompute

       • 選擇投遞到本賬號(hào)，設(shè)置如下參數(shù)。

         參數(shù)	描述
         大數(shù)據(jù)計(jì)算服務(wù)地域	投遞數(shù)據(jù)的大數(shù)據(jù)計(jì)算服務(wù)項(xiàng)目所在地域。 說(shuō)明 操作審計(jì)會(huì)將審計(jì)日志投遞至大數(shù)據(jù)計(jì)算服務(wù)指定地域下的actiontrail_<阿里云賬號(hào)ID> 項(xiàng)目中。因大數(shù)據(jù)計(jì)算服務(wù)項(xiàng)目名稱(chēng)賬號(hào)唯一，若賬號(hào)下已有actiontrail_<阿里云賬號(hào)ID> 的項(xiàng)目，將默認(rèn)投遞至已有項(xiàng)目下。
         大數(shù)據(jù)計(jì)算服務(wù)項(xiàng)目Quota	大數(shù)據(jù)計(jì)算服務(wù)的配額。 說(shuō)明 創(chuàng)建跟蹤首次投遞到大數(shù)據(jù)計(jì)算服務(wù)時(shí)，需要選擇大數(shù)據(jù)計(jì)算服務(wù)的配額，若當(dāng)前地域下無(wú)可選配額，請(qǐng)選擇其他大數(shù)據(jù)計(jì)算服務(wù)地域。

       • 選擇投遞到其他賬號(hào)，設(shè)置大數(shù)據(jù)計(jì)算服務(wù)ARN和大數(shù)據(jù)計(jì)算服務(wù)寫(xiě)入角色ARN。

         選擇投遞到其他賬號(hào)時(shí)需要先在目標(biāo)賬號(hào)中創(chuàng)建RAM角色，授予操作審計(jì)服務(wù)向目標(biāo)賬號(hào)投遞事件的權(quán)限，并提前創(chuàng)建大數(shù)據(jù)計(jì)算服務(wù)項(xiàng)目。具體操作，請(qǐng)參見(jiàn)將多個(gè)阿里云賬號(hào)的事件投遞到同一賬號(hào)。

6. 單擊確認(rèn)。