查看ECS實例的操作記錄
ECS實例及關(guān)聯(lián)資源在什么時間、地點、被誰做了哪些變更,這些操作日志都會被記錄下來并存檔90天。當(dāng)您在管理或使用ECS實例時遭遇技術(shù)問題或故障,查閱操作記錄將有助于快速定位問題,提高故障排除效率。同時操作記錄也可用于評估故障影響范圍以及責(zé)任認(rèn)定等。
操作記錄功能的日志數(shù)據(jù)由操作審計(ActionTrail)提供,默認(rèn)保留最近90天的數(shù)據(jù)。若您有需求保存更長時間段內(nèi)的操作記錄,可以考慮將操作日志投遞到您自己的存儲服務(wù)中,更多詳情請參見創(chuàng)建單賬號跟蹤。
操作步驟
登錄ECS管理控制臺。
在左側(cè)導(dǎo)航欄,選擇。
在頁面左側(cè)頂部,選擇目標(biāo)資源所在的資源組和地域。
選擇需要排查異常故障的實例,單擊實例ID。
在實例詳情頁面,單擊操作記錄頁簽。
ECS實例的變更:
實例配置變更:調(diào)整實例的硬件配置,如CPU核心數(shù)、內(nèi)存大小、磁盤空間等。
實例狀態(tài)變更:更改實例的狀態(tài),如從運行中切換到停止?fàn)顟B(tài)。
實例屬性變更:修改實例的名稱、描述、標(biāo)簽等信息。
實例計費變更:調(diào)整實例的計費模式,如從按量付費轉(zhuǎn)變?yōu)榘臧隆?/p>
實例創(chuàng)建或釋放:創(chuàng)建:啟動新的ECS實例,釋放:終止不再需要的ECS實例。
實例啟動和關(guān)閉:啟動使停止?fàn)顟B(tài)的實例恢復(fù)運行,關(guān)閉暫停實例的運行
系統(tǒng)內(nèi)停止實例 - 節(jié)省停機模式:將實例置于節(jié)省停機模式,以減少不必要的費用。
ECS關(guān)聯(lián)資源的變更:
創(chuàng)建或刪除安全組:創(chuàng)建為實例或?qū)嵗M建立新的安全規(guī)則集合,刪除移除不再需要的安全組。
安全組配置修改:調(diào)整安全組的規(guī)則,以允許或禁止某些類型的網(wǎng)絡(luò)流量進入或離開實例。
關(guān)聯(lián)安全組變更:更新與實例關(guān)聯(lián)的安全組規(guī)則,增強或調(diào)整實例的安全保護措施。
關(guān)聯(lián)彈性網(wǎng)卡變更:對連接至實例的彈性網(wǎng)卡進行配置調(diào)整,如IP地址分配、子網(wǎng)設(shè)置等。
關(guān)聯(lián)磁盤變更:調(diào)整與ECS實例相連的云磁盤配置,如擴展磁盤空間或變更磁盤類型。
高:這類操作可能會導(dǎo)致服務(wù)中斷。例如,停止實例(StopInstance)、重啟實例(RebootInstance)等操作。這些操作可能會影響您的業(yè)務(wù)運行,并且需要您提前做好數(shù)據(jù)備份和恢復(fù)策略。
中:這類操作通常不會導(dǎo)致服務(wù)中斷,但在某些情況下可能會產(chǎn)生短暫的影響。例如,啟動實例(StartInstance)、修改實例配置(ModifyInstanceSpec)等操作。在執(zhí)行這些操作時,建議您關(guān)注實例的狀態(tài)變化并及時處理可能出現(xiàn)的問題。
低:這類操作一般不會對實例造成任何影響。例如,查詢實例詳情(DescribeInstances)、查看實例狀態(tài)(DescribeInstanceStatus)等操作。這些操作主要用于獲取實例的相關(guān)信息,幫助您更好地管理和監(jiān)控實例。
在實例的操作記錄頁面,單擊詳情以查看實例及其關(guān)聯(lián)資源的詳細操作記錄,您可以在管控事件結(jié)構(gòu)定義中查閱詳細描述。
默認(rèn)會列出最近7天ECS實例及其相關(guān)資源的所有操作記錄。
您可以按變更范圍和變更影響等級等過濾條件進一步篩查出關(guān)心的操作記錄,支持的過濾條件如下表所示。
名稱 | 描述 |
變更范圍 | 影響ECS的操作,主要包括兩大類: |
讀寫類型 | 操作的讀寫類型,目前僅支持寫類型查詢。 例如StopInstance操作,停止一臺實例。 |
時間范圍 | 支持查詢過去90天內(nèi)的變更記錄,且起止日期的最大間隔為7天。 |
變更影響等級 | 不同的操作對ECS實例的影響等級不一樣。變更影響等級包括: |
變更名稱 | 各資源的變更操作名稱(即API名稱)您可以在API概覽中搜索查看對應(yīng)的API說明。 |
用戶名 | 執(zhí)行變更操作的用戶。 |
關(guān)聯(lián)資源ID | 變更操作對應(yīng)的實例ID和實例名稱,用以唯一標(biāo)識與ECS實例相關(guān)聯(lián)的資源。 |
案例介紹
某公司的IT部門正在使用阿里云的ECS實例來托管其關(guān)鍵業(yè)務(wù)應(yīng)用。某天上午,公司的客戶服務(wù)團隊收到了大量關(guān)于網(wǎng)站響應(yīng)非常慢的反饋。IT運維人員立即登錄阿里云控制臺進行問題排查。
1. 初步檢查
IT運維人員首先通過云監(jiān)控查看發(fā)現(xiàn)一臺服務(wù)器CPU使用率異常,意識到需要查找問題原因,于是利用ECS操作記錄和阿里云的操作審計(ActionTrail)來獲取最近對ECS實例的所有日志以及操作記錄排查問題。
2. 使用ECS操作記錄
IT運維人員通過阿里云控制臺進入了ECS操作記錄頁面,查看了過去幾天內(nèi)的所有相關(guān)操作記錄,發(fā)現(xiàn)了一些變更等級高的異常操作。
為了進一步詳細定位問題通過查看ECS操作記錄詳情獲取到了操作的詳細信息,記錄了“何時”、“何地”、“被何人”執(zhí)行了“何種操作”。
{
"eventId": "1A453C6E-A7D6-58E3-9435-***************",
"eventVersion": 1,
"responseElements": {
"RequestId": "1A453C6E-A7D6-58E3-9435-9********"
},
"eventSource": "ecs-openapi-share.cn-hangzhou-cloudstone.aliyuncs.com",
"requestParameters": {
"SourceRegionId": "cn-hangzhou-cloudstone",
"AcsProduct": "Ecs",
"X-Acs-Public-Access": false,
"InstanceId": "i-gc7********",
"X-Acs-Ingress-Network": "crossdomain",
"AcceptLanguage": "zh-CN",
"ClientPort": 62889,
"RegionId": "cn-nanjing",
"InstanceType": "ecs.g6.large",
"X-Acs-Account-Site-Type": "domestic",
"X-Acs-Client-Request-Host": "ecs-openapi-share.cn-hangzhou-cloudstone.aliyuncs.com"
},
"sourceIpAddress": "124.89.********",
"userAgent": "ecs.console.aliyun.com",
"eventRW": "Write",
"eventType": [
"spec",
"instanceCost"
],
"referencedResources": {
"ACS::ECS::Instance": [
"i-gc77ccwg********"
]
},
"userIdentity": {
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2024-10-31T05:51:14Z"
}
},
"accountId": "141339********",
"principalId": "14133********",
"type": "root-account",
"userName": "zhangsan"
},
"serviceName": "Ecs",
"additionalEventData": {
"CallerBid": "26842"
},
"apiVersion": "2014-05-26",
"requestId": "1A453C6E-A7D6-********",
"eventTime": "2024-10-31T05:51:14Z",
"isGlobal": false,
"acsRegion": "cn-nanjing",
"eventName": "ModifyInstanceSpec",
"resourceName": "i-gc7********",
"userName": "root",
"originEventType": "ConsoleOperation",
"eventLevel": "high"
}何時:操作記錄顯示,配置調(diào)整發(fā)生在2024年10月31日13點51分14秒。
何地:操作是從公司內(nèi)部IP為124.89.********地址發(fā)起的。
被何人:操作是由開發(fā)工程師賬戶ID141339********的張三執(zhí)行的。
何種操作:具體執(zhí)行了ModifyInstanceSpec操作是對ECS實例規(guī)格進行了修改,具體涉及到的ECS實例ID為
i-gc77ccwg********,并且新的實例類型設(shè)置為了ecs.g6.large。
3. 分析操作記錄
通過ECS操作記錄,IT運維人員了解到這次配置調(diào)整是在前一天中午1點進行的。調(diào)整后沒有立即發(fā)現(xiàn)問題,但隨著時間推移,用戶訪問量增加,性能不足的問題逐漸顯現(xiàn)。
4. 聯(lián)系相關(guān)人員
IT運維人員聯(lián)系了負(fù)責(zé)調(diào)整配置的工程師張三,詢問具體的調(diào)整細節(jié)。張三回憶起在調(diào)整配置時,可能沒有正確評估資源需求的變化,導(dǎo)致配置調(diào)整后性能不足。
5. 使用操作審計輔助分析
為了進一步確認(rèn)和驗證,IT運維人員還使用了阿里云的操作審計(ActionTrail)功能。操作審計提供了更詳細的日志信息,包括API調(diào)用的具體參數(shù)和事件ID等。并且通過操作審計事件查詢確認(rèn)了沒有對該賬號下的其他實例進行修改。
API調(diào)用時間:與ECS操作記錄一致,為前一天下午1點。
調(diào)用者身份:確實是張三的賬號。
API調(diào)用內(nèi)容:具體修改了ECS實例的規(guī)格參數(shù)。
6. 恢復(fù)并優(yōu)化配置
根據(jù)ECS操作記錄和操作審計提供的信息,IT運維人員決定恢復(fù)之前的配置設(shè)置,并根據(jù)當(dāng)前的實際負(fù)載情況重新評估和調(diào)整資源配置。具體步驟如下:
恢復(fù)配置:將ECS實例的CPU和內(nèi)存配額手動恢復(fù)到之前的設(shè)置。
監(jiān)控性能:恢復(fù)配置后,持續(xù)監(jiān)控ECS實例的性能,確保服務(wù)恢復(fù)正常。
重新評估:與張三一起重新評估資源需求,并制定一個更合理的資源配置方案。