Action Trail(ActionTrail)協助您監控並記錄阿里雲帳號的活動,包括通過阿里雲控制台、OpenAPI、開發人員工具對雲上產品和服務的訪問和使用行為。您可以將這些行為事件下載或儲存到Log ServiceSLS或Object Storage Service,然後進行行為分析、安全分析、資源變更行為追蹤和行為合規性審計等操作。
Action Trail的實現原理如下圖所示。
功能特性
開箱即用:無需配置,Action Trail預設為您追蹤並記錄最近90天的事件,支援線上查閱事件。
自主管理:通過建立跟蹤,Action Trail可以將事件儲存到Log ServiceSLS(日誌的形式)或Object Storage Service(檔案的形式)。您可以利用Log Service的檢索能力、分析功能或進一步轉存到巨量資料產品來管理這些資料,例如:授權、開啟生命週期管理、歸檔管理、檢索、分析和警示等。
多維度查詢:Action Trail支援從操作時段、使用者名稱、資源類型、資源名稱或操作名稱等維度查詢事件。
應用情境
等保合規:根據等保2.0條例要求,雲上租戶必須記錄賬戶活動並至少儲存180天。通過Action Trail可以將帳號活動記錄投遞到Log Service或OSS儲存空間並長久儲存。
安全分析:Action Trail會對使用者操作進行詳細的記錄,通過這些事件您可以判斷您的帳號是否存在安全問題。
例如:您可在跟蹤中設定將操作事件投遞到Log ServiceSLS的Logstore,進行更長時間地儲存和SQL分析。
資源變更追蹤:當您的資源出現異常變更時,Action Trail記錄的操作可以幫您定位問題。例如:當您發現一台ECS執行個體停機了,您可以通過Action Trail定位停機的操作者、操作時間以及操作IP地址。
合規性審計:如果您的組織有多個成員,而且您已經使用了存取控制RAM來管理這些成員,Action Trail可以滿足您所在組織的合規性審計要求,幫您擷取每個成員的詳細事件。您還可以根據審計人員的職責不同,建立多個跟蹤追蹤不同地區的不同事件類型並投遞到不同的儲存空間。
例如:如果您在阿里雲中國站和國際站均部署了資源,考慮到各國家資料安全要求不同,您可以建立多個追蹤分別追蹤不同國家、地區的操作事件,分別投遞到當地的儲存空間。
產品優勢
快速推送:Action Trail收集使用者使用阿里雲服務的事件(包括使用者通過控制台觸發的操作、調用阿里雲API進行的操作以及雲端服務通過服務角色進行的操作等)。事件通常會在10分鐘內被Action Trail追蹤並記錄。
詳細記錄:Action Trail會詳細記錄使用者操作上下文資訊,並可以通過Action Trail控制台或調用API來查看最近90天的事件。例如:您可以獲知是誰在什麼時刻、從哪個源IP發起對哪個對象的什麼操作?該操作來自於API還是控制台?操作結果是成功還是失敗?失敗原因是什嗎?
穩定可靠:Action Trail支援將事件投遞到Log ServiceSLS或Object Storage Service等儲存產品中,這些儲存產品具有高可用性,並且可以通過加密和許可權控制,保證審計資料安全。當投遞發生時,Action Trail還將向您發送通知。
定製跟蹤:您最多可以在每個地區建立5個跟蹤,分別追蹤不同的事件類型、地區範圍,並可分別投遞到不同的儲存空間,以滿足您為不同職責員工備份不同範圍行為資料的要求。
說明應避免同一個地區的相同事件類型重複投遞到同一個地址。
平台營運透明:Action Trail可以近即時地記錄並儲存阿里雲平台的動作記錄,基於Log Service提供查詢、分析、警示、報表等下遊計算能力,為使用者開啟平台營運的黑盒,滿足您對平台操作的分析和審計需求。