操作審計僅默認為每個阿里云賬號記錄最近90天的事件,為了滿足長期存儲和合規性回溯的需求,您可以創建跟蹤,將后續新產生的事件投遞到日志服務SLS或對象存儲OSS中,確保您后續能夠查看并分析超過90天的事件詳情。本文為您介紹單賬號跟蹤的工作原理和使用場景。
工作原理
創建單賬號跟蹤并投遞到日志服務SLS或對象存儲OSS,事件會以JSON格式保存在SLS Logstore或OSS存儲空間中,便于您后續查詢、分析或長時間存儲事件。您可以按需選擇存儲服務:
如果您需要查詢或分析事件,可以將事件投遞到日志服務SLS。新產生的事件通常會在1分鐘內投遞至您的SLS LogStore。
如果您需要長時間存儲事件(歸檔事件),可以將事件投遞到對象存儲OSS。新產生的事件通常會在10分鐘內投遞至您的OSS存儲空間。
操作審計會按照一定規則對事件進行聚合,然后將事件投遞到您的OSS存儲空間。通常每5分鐘的多個事件會聚合為一個文件,如果您的事件非常多,則每5分鐘會產生多個文件。
單賬號跟蹤原理如下圖所示。
使用場景
多個單賬號跟蹤可以解決以下問題:
創建多個單賬號跟蹤可以將不同的數據投遞到不同的存儲空間,并授予企業角色相應的權限,從而實現不同角色審計不同范圍的事件。
創建多個單賬號跟蹤到不同地域,分別投遞到當地的存儲空間,可以合規管理多地域的審計數據。
為事件創建多個副本備份,以免數據丟失。
說明
當您使用多個單賬號跟蹤時,建議您不要將多個單賬號跟蹤設置為同一個投遞地址,這可能造成事件的重復投遞和存儲空間的浪費。
文檔內容是否對您有幫助?