將事件持續(xù)投遞到指定服務(wù)
操作審計默認(rèn)為每個阿里云賬號記錄最近90天的事件。但在日常工作中,企業(yè)可能需要保留180天及以上的事件,也可能需要對已有的90天事件進(jìn)行分析。此時需要將這些事件轉(zhuǎn)存到數(shù)據(jù)分析服務(wù),或持續(xù)采集云上的事件并保存到指定存儲服務(wù)。這需要依賴操作審計的跟蹤功能實現(xiàn)。本文以創(chuàng)建單賬號跟蹤為例,為您介紹不同場景下通過跟蹤投遞事件的方法。
前提條件
請確保您已開通對象存儲OSS。具體操作,請參見開通OSS服務(wù)。
請確保您已開通日志服務(wù)SLS。
當(dāng)您首次使用日志服務(wù)SLS時,需要登錄日志服務(wù)控制臺,根據(jù)頁面提示開通日志服務(wù)SLS。
請確保您已開通大數(shù)據(jù)計算服務(wù)MaxCompute。具體操作,請參見開通MaxCompute。
使用場景
使用操作審計創(chuàng)建跟蹤并投遞事件,可以滿足您不同場景需求。如果不創(chuàng)建跟蹤,您將無法追溯90天以前的事件。具體場景如下:
操作審計默認(rèn)記錄最近90天的事件,為了滿足等保2.0(網(wǎng)絡(luò)安全等級保護(hù)2.0制度)將事件保存180天及以上的要求,您可以創(chuàng)建跟蹤持續(xù)采集事件并投遞到對象存儲OSS、日志服務(wù)SLS或大數(shù)據(jù)計算服務(wù)MaxCompute。默認(rèn)情況下,投遞到OSS、SLS或MaxCompute的事件會永久保存。如果您需要將事件設(shè)置為僅保留180天,請參見OSS修改事件存儲時長或SLS修改事件存儲時長。
當(dāng)您需要及時感知敏感操作(例如:產(chǎn)生訂單、刪除資源等)的發(fā)生時,您可以創(chuàng)建跟蹤將事件投遞到日志服務(wù)SLS,并在SLS對需要關(guān)注的敏感操作設(shè)置告警。
當(dāng)您需要分析事件,而日志服務(wù)SLS的分析能力又不能滿足您的需求時,您可以使用分析能力更強(qiáng)大的大數(shù)據(jù)計算服務(wù)(MaxCompute)。MaxCompute為您提供多種經(jīng)典的分布式計算模型,幫助您輕松完成大數(shù)據(jù)分析。推薦您創(chuàng)建跟蹤,將事件投遞到日志服務(wù)SLS,再通過SLS將數(shù)據(jù)導(dǎo)出到MaxCompute進(jìn)行分析。
當(dāng)您需要同時對事件進(jìn)行實時分析和永久存儲時,需充分了解對象存儲OSS、日志服務(wù)SLS和大數(shù)據(jù)計算服務(wù)(MaxCompute)的功能特性及收費。三者收費情況為:SLS > MaxCompute > OSS,因此推薦您先將事件投遞到日志服務(wù)SLS進(jìn)行分析,手動修改事件在SLS的存儲時長(存儲時長應(yīng)該更好地滿足實時分析的時間跨度要求),然后定時將SLS中的數(shù)據(jù)導(dǎo)入到MaxCompute或OSS進(jìn)行永久存儲。
場景一:將事件保存180天及以上
登錄操作審計控制臺。
在左側(cè)導(dǎo)航欄,單擊跟蹤。
在頂部導(dǎo)航欄選擇您想創(chuàng)建跟蹤的地域。
在跟蹤頁面,單擊創(chuàng)建跟蹤。
在創(chuàng)建跟蹤頁面,設(shè)置跟蹤的相關(guān)參數(shù)。
在基本信息區(qū)域,設(shè)置日志事件。
參數(shù)
說明
跟蹤名稱
跟蹤的名稱。同一阿里云賬號中跟蹤名稱不能重復(fù)。
跟蹤配置
將管控事件設(shè)置為所有事件。
在審計事件投遞區(qū)域,選擇投遞方式。
選擇將事件投遞到日志服務(wù)SLS,然后選擇投遞到本賬號。
創(chuàng)建新的日志項目:選擇日志庫所屬地域,設(shè)置日志項目名稱。
選擇已有的日志項目:選擇日志庫所屬地域和日志項目名稱。
選擇將事件投遞到對象存儲OSS,然后選擇投遞到本賬號。
創(chuàng)建新的存儲空間:設(shè)置存儲空間名稱、日志文件前綴、服務(wù)端加密情況和是否開啟合規(guī)保留。
選擇已有的存儲空間:選擇存儲空間名稱。
選擇將事件投遞到大數(shù)據(jù)計算服務(wù)MaxCompute,然后選擇投遞到本賬號。
設(shè)置大數(shù)據(jù)計算服務(wù)地域和大數(shù)據(jù)計算服務(wù)項目Quota。
單擊確認(rèn)。
您可以執(zhí)行以下操作進(jìn)入存儲服務(wù)的控制臺查看事件。
對象存儲OSS:單擊存儲空間名稱進(jìn)入OSS管理控制臺查看事件。
日志服務(wù)SLS:單擊日志項目名稱或日志庫名稱,進(jìn)入日志服務(wù)控制臺查看事件。
大數(shù)據(jù)計算服務(wù)MaxCompute:單擊MaxCompute項目名稱,進(jìn)入MaxCompute控制臺查看事件。
場景二:對敏感操作進(jìn)行分析和告警
登錄操作審計控制臺。
在左側(cè)導(dǎo)航欄,單擊跟蹤。
在頂部導(dǎo)航欄選擇您想創(chuàng)建跟蹤的地域。
在跟蹤頁面,單擊創(chuàng)建跟蹤。
在創(chuàng)建跟蹤頁面,設(shè)置跟蹤的相關(guān)參數(shù)。
在基本信息區(qū)域,設(shè)置日志事件。
參數(shù)
說明
跟蹤名稱
跟蹤的名稱。同一阿里云賬號中跟蹤名稱不能重復(fù)。
跟蹤配置
將管控事件設(shè)置為寫事件。
說明敏感操作多為寫事件,管控事件設(shè)置為寫事件可以減少審計事件數(shù)據(jù)量,從而節(jié)省成本。
在審計事件投遞區(qū)域,選擇將事件投遞到本賬號的日志服務(wù)。
創(chuàng)建新的日志項目:選擇日志庫所屬地域,設(shè)置日志項目名稱。
選擇已有的日志項目:選擇日志庫所屬地域和日志項目名稱。
單擊確認(rèn)。
您可以單擊日志項目名稱或日志庫名稱,進(jìn)入日志服務(wù)控制臺查看事件分析情況。
在日志服務(wù)控制臺設(shè)置告警。
具體操作,請參見設(shè)置告警。
場景三:通過MaxCompute分析事件
登錄操作審計控制臺。
在左側(cè)導(dǎo)航欄,單擊跟蹤。
在頂部導(dǎo)航欄選擇您想創(chuàng)建跟蹤的地域。
在跟蹤頁面,單擊創(chuàng)建跟蹤。
在創(chuàng)建跟蹤頁面,設(shè)置跟蹤的相關(guān)參數(shù)。
在基本信息區(qū)域,設(shè)置日志事件。
參數(shù)
說明
跟蹤名稱
跟蹤的名稱。同一阿里云賬號中跟蹤名稱不能重復(fù)。
跟蹤配置
將管控事件設(shè)置為所有事件。
在審計事件投遞區(qū)域,選擇將事件投遞到本賬號的日志服務(wù)。
創(chuàng)建新的日志項目:選擇日志庫所屬地域,設(shè)置日志項目名稱。
選擇已有的日志項目:選擇日志庫所屬地域和日志項目名稱。
單擊確認(rèn)。
您可以單擊日志項目名稱或日志庫名稱,進(jìn)入日志服務(wù)控制臺查看事件分析情況。
在日志服務(wù)控制臺將事件投遞到MaxCompute。
具體操作,請參見投遞日志到MaxCompute(舊版)。
說明事件投遞到MaxCompute后,您可以根據(jù)需求對事件進(jìn)行分析。
場景四:低成本分析和永久存儲事件
使用操作審計創(chuàng)建跟蹤時,如果選擇了創(chuàng)建新的日志項目,則默認(rèn)創(chuàng)建以actiontrail_<trail_name>開頭的Logstore,永久保存事件。為了節(jié)省成本,推薦您手動修改SLS事件存儲時長(例如:180天),再定時將SLS中的數(shù)據(jù)導(dǎo)入到MaxCompute或OSS進(jìn)行永久存儲。
在操作審計控制臺創(chuàng)建跟蹤并將事件投遞到日志服務(wù)SLS。
關(guān)于如何創(chuàng)建跟蹤,請參見創(chuàng)建單賬號跟蹤。
在日志服務(wù)控制臺修改日志存儲時長。
登錄日志服務(wù)控制臺。
在Project列表區(qū)域,單擊事件對應(yīng)的Project名稱。
單擊日志左側(cè)
圖標(biāo),然后單擊
圖標(biāo)。在Logstore屬性頁面,單擊右上角的修改。
將數(shù)據(jù)保存時間修改為限定天數(shù),并設(shè)置保存的天數(shù),然后單擊頁面右上角保存。
在日志服務(wù)控制臺將事件投遞到MaxCompute或OSS。