跟蹤是一種重要的配置機制,您可以使用跟蹤功能,將云服務中發生的事件保存到指定的OSS存儲空間或SLS Logstore中,以便后期分析和長期存儲。操作審計僅默認為每個阿里云賬號記錄最近90天的事件,您必須創建跟蹤才能記錄更長時間的事件,否則將無法追溯90天以前的事件。本文為您介紹跟蹤的工作原理、使用場景等內容。
工作原理
跟蹤的工作原理如下圖所示。
使用場景
在阿里云操作審計服務(ActionTrail)中,跟蹤(Trail)是個非常推薦的功能,您可以通過跟蹤中心化收集更長時間的審計日志后,用于安全監控、合規審計、故障診斷、資源變更追蹤等多個領域。以下是跟蹤收集到審計日志后一些具體的使用場景:
安全監控與保障
可疑活動檢測:通過監控非典型的API調用或來自異常地理位置的請求,可以檢測潛在的安全威脅或未授權的活動。
用戶行為分析:審計日志中的跟蹤數據可以用來分析用戶的行為模式,并發現任何不符合正常使用模式的操作。
權限變更跟蹤:使用多賬號跟蹤,監控對RAM策略和用戶權限的變更,以確保只有授權用戶才能進行關鍵操作。
合規審計
操作記錄保存:為了滿足法律法規要求,企業可能需要長期保存他們的操作記錄。多賬號跟蹤可以將操作日志存儲在OSS中以供未來審查。
合規報告:利用跟蹤數據生成合規報告,展示企業遵循特定的安全標準和政策。
資源變更管理
資源生命周期管理:通過跟蹤資源的創建、修改和刪除事件,可以管理整個資源的生命周期。
環境狀態變更審計:在多人合作的環境中,可以通過多賬號跟蹤記錄誰在何時對環境做了什么更改,以確保環境的穩定性。
故障診斷與運維
服務故障分析:在出現服務中斷或性能下降時,可以使用跟蹤日志來分析事件前后的操作,以幫助確定故障原因。
配置變更追蹤:記錄對云資源配置的所有更改,幫助識別可能導致服務中斷的配置錯誤。
基本概念
概念 | 說明 |
跟蹤 | 跟蹤是一種配置,用于將事件保存到指定的OSS存儲空間或SLS Logstore,以便進一步分析和存儲。根據創建者、作用范圍和投遞內容的不同,分為單賬號跟蹤、多賬號跟蹤和平臺事件跟蹤。 |
單賬號跟蹤 | 個人用戶需要將操作審計事件投遞到日志服務SLS或對象存儲OSS時,可以創建單賬號跟蹤。 通過創建多個單賬號跟蹤,可以實現以下需求:
關于單賬號跟蹤的更多信息,請參見單賬號跟蹤概覽。 |
多賬號跟蹤 | 企業用戶(開通了資源目錄的企業)需要將資源目錄內的所有成員的操作審計事件投遞到日志服務SLS或對象存儲OSS時,可以創建多賬號跟蹤。 關于多賬號跟蹤的更多信息,請參見多賬號跟蹤概覽。 |
平臺事件跟蹤 | 個人用戶需要將阿里云運維團隊針對用戶服務的維護操作所產生的事件投遞到日志服務SLS時,可以創建平臺事件跟蹤。 關于平臺事件跟蹤的更多信息,請參見平臺操作審計概覽。 |
管理賬號 | 管理賬號是資源目錄的超級管理員,也是開通資源目錄的初始賬號,對其創建的資源目錄和成員擁有完全控制權限。只有通過企業實名認證的阿里云賬號才能開通資源目錄,每個資源目錄有且只有一個管理賬號。 |
成員 | 在資源目錄內,成員作為資源容器,是一種資源分組單位。成員通常用于指代一個項目或應用,每個成員中的資源相對其他成員中的資源是物理隔離的。您可以通過管理賬號授予RAM用戶、RAM用戶組或RAM角色對成員內資源的訪問權限。 成員被管理賬號邀請進入資源目錄,或由管理賬號在資源目錄內直接創建。 |
委派管理員賬號 | 資源目錄的管理賬號可以將資源目錄中的成員設置為可信服務的委派管理員賬號。設置成功后,委派管理員賬號將獲得管理賬號的授權,可以在對應可信服務中訪問資源目錄組織和成員信息,并在該組織范圍內進行業務管理。 關于委派管理員賬號的更多信息,請參見管理委派管理員賬號。 |
多賬號跟蹤和單賬號跟蹤的區別
跟蹤類型 | 創建賬號 | 投遞事件范圍 | 事件查詢方式 | 創建的最大跟蹤數目 | 創建方式 |
單賬號跟蹤 | 阿里云賬號 | 阿里云賬號下的事件 |
| 每個地域5個 | |
多賬號跟蹤 | 委派管理員賬號(或者管理賬號) | 所有成員的事件 | 委派管理員賬號(或者管理賬號):
| 所有地域1個 |