多帳號跟蹤將把資來源目錄內所有成員的事件投遞到多帳號跟蹤中設定的SLS Logstore、OSS儲存空間或MaxCompute。本文為您介紹如何通過Action Trail控制台建立多帳號跟蹤。
前提條件
請確保您已經開通資來源目錄。具體操作,請參見開通資來源目錄。
背景資訊
操作步驟
通過委派管理員帳號(或者管理帳號)登入Action Trail控制台。
關於如何設定委派管理員帳號,請參見管理委派管理員帳號。
在左側導覽列,單擊跟蹤。
在頂部導覽列選擇您想建立多帳號跟蹤的地區。
說明該地區將成為多帳號跟蹤的Home地區,即建立跟蹤的地區。
在跟蹤頁面,單擊创建跟踪。
在建立跟蹤頁面,設定跟蹤的相關參數。
基本資料
參數
說明
跟踪名称
跟蹤的名稱。您需要在阿里雲帳號中設定唯一的名稱,該名稱將用於在SLS中對Logstore命名,命名規則為
actiontrail_<跟蹤名稱>。日誌事件
跟蹤投遞的事件。取值:管控事件,表示使用者管理雲上資源時管控平面的操作記錄。
管控事件的事件類型如下:
所有事件:讀事件和寫事件。審計相關的法規和標準均強調對審計事件的完整記錄,建議您選擇所有事件。
寫事件:增加、刪除或修改雲上資源的事件,例如:CreateInstance(建立一台訂用帳戶或者隨用隨付的ECS執行個體)。如果您僅匯出事件進行自訂分析,且只關注會影響雲資源的事件,則選擇寫事件。
讀事件:本身沒有在雲上增加、刪除或修改配置的操作意圖,也不會對雲上配置造成變更,僅讀取雲端服務資源資訊的事件,例如:DescribeInstances(查詢一台或多台ECS執行個體的詳細資料)。讀事件一般事件量非常大,會佔用較多儲存空間。但審計相關法規和標準均強調對審計事件的完整記錄,所以建議您同時投遞讀事件,以便完整還原AK的使用歷史和資源的訪問歷史。
說明當您通過Action Trail控制台建立跟蹤時,預設將跟蹤投遞的地區設定為全部地區。如果需要建立部分地區的跟蹤,請調用建立跟蹤介面設定TrailRegion參數。
應用到所有成員
跟蹤的應用範圍。取值:
是:該跟蹤為多帳號跟蹤,將收集管理帳號和所有成員的事件,投遞到統一的儲存空間。為避免遺漏事件,建議您選擇此選項。
否:該跟蹤將成為單帳號跟蹤,僅投遞當前帳號的事件。
說明此選項一旦選定不可更改。如果建立多帳號跟蹤後您需要修改應用到所有成員選項,則需要刪除多帳號跟蹤後重新建立。
建立多帳號跟蹤後,跟蹤頁面中的跟蹤類型列顯示多帳號跟蹤。
審計事件投遞
您可以將跟蹤分別投遞到Log ServiceSLS、Object Storage Service或MaxCompute,或者同時進行投遞。關於如何選擇儲存服務,請參見將事件持續投遞到指定服務。
說明目前投遞的事件範圍,是多帳號跟蹤生效後產生的新事件,不包括原有的最近90天事件。您可以建立資料回補投遞任務,將最近90天的事件一次性補投遞到您跟蹤指定的地址,最大限度、最大範圍滿足您的需求。具體操作,請參見建立資料回補投遞任務。
選擇将事件投递到日志服务SLS
選擇投遞到本帳號,設定如下參數。
參數
描述
記錄項目
選擇事件投遞到Log ServiceSLS的記錄項目方式。
建立新的記錄項目
選擇已有的記錄項目
日志库所属地域
記錄項目所在地區。
日志项目名称
Log ServiceSLS中記錄項目的名稱。
說明記錄項目名稱為所有阿里雲使用者共用,不可重複。
當您選中创建新的日志项目時,將通過Action Trail控制台建立記錄項目,輸入記錄項目名稱。
當您選中选择已有的日志项目時,在Log ServiceSLS中選擇已有記錄項目名稱。
說明投遞成功後Action Trail會自動建立一個名為
actiontrail_<跟蹤名稱>的日誌庫(Logstore),該Logstore會自動幫您設定審計最佳配置,建立查詢所需索引和儀錶盤,並禁止使用者寫入,保證審計資料的準確性。您無需提前建立Logstore。選擇投遞到其他帳號,設定記錄項目ARN和日誌寫入角色ARN。
選擇投遞到其他帳號時需要先在目標帳號中建立RAM角色,授予Action Trail服務向目標帳號投遞事件的許可權,並提前建立記錄項目。具體操作,請參見將資來源目錄中多個成員的事件投遞到同一帳號。
選擇将事件投递到对象存储OSS
選擇投遞到本帳號,設定如下參數。
參數
描述
儲存空間
選擇事件投遞到Object Storage Service的儲存空間方式。
建立新的儲存空間
選擇已有的儲存空間
儲存空間名稱
Object Storage Service中儲存空間的名稱。同一帳號下,儲存空間名稱不能重複。
當您選中建立新的儲存空間時,通過Action Trail控制台建立儲存空間,輸入儲存空間名稱。
當您選中選擇已有的儲存空間時,在Object Storage Service中選擇已有儲存空間名稱。
重要若您建立的儲存空間位於中國內地,您需要在實名登記頁面提交相關資訊。
日志文件前缀
事件存放的記錄檔首碼,方便後續尋找事件。
开启服务端加密
儲存空間中的記錄檔是否加密。當您選中建立新的儲存空間時,需要設定該參數。取值:
不開啟
OSS完全託管
KMS
說明關於OSS伺服器加密功能,請參見伺服器端加密。
開啟合規保留
您可以在合規保留原則的保留周期內以“不可刪除、不可篡改”的方式儲存和使用OSS資料。
取值:
不開啟
開啟
選擇投遞到其他帳號,設定儲存空間角色ARN、儲存空間名稱和日志文件前缀。
選擇投遞到其他帳號時需要先在目標帳號中建立RAM角色,授予Action Trail服務向目標帳號投遞事件的許可權,並提前建立OSS儲存空間。具體操作,請參見將資來源目錄中多個成員的事件投遞到同一帳號。
選擇將事件投遞到MaxCompute
選擇投遞到本帳號,設定如下參數。
參數
描述
MaxCompute地區
投遞資料的MaxCompute專案所在地區。
說明Action Trail會將審計日誌投遞至MaxCompute指定地區下的actiontrail_<阿里雲帳號ID> 專案中。因MaxCompute專案名稱帳號下唯一,若帳號下已有actiontrail_<阿里雲帳號ID> 的專案,將預設投遞至已有專案下。
MaxCompute專案Quota
MaxCompute的配額。
說明建立跟蹤首次投遞到MaxCompute時,需要選擇MaxCompute的配額,若當前地區下無可選配額,請選擇其他MaxCompute地區。
選擇投遞到其他帳號,設定MaxComputeARN和MaxCompute寫入角色ARN。
選擇投遞到其他帳號時需要先在目標帳號中建立RAM角色,授予Action Trail服務向目標帳號投遞事件的許可權,並提前建立MaxCompute專案。具體操作,請參見將多個阿里雲帳號的事件投遞到同一帳號。
單擊確認。
執行結果
建立多帳號跟蹤後,事件會以JSON格式儲存在SLS Logstore、OSS儲存空間或MaxCompute資料表中。您可以通過管理帳號在Log ServiceSLS、Object Storage Service或MaxCompute中查看已投遞的事件。
管理帳號僅能在Object Storage Service、Log ServiceSLS或MaxCompute中看到資來源目錄中成員的事件,不能通過Action Trail控制台的事件查询或LookupEvents介面查詢成員的事件。
Log ServiceSLS:Action Trail會自動建立一個名為
actiontrail_<跟蹤名稱>的日誌庫(Logstore)。您可以在跟蹤頁面將滑鼠懸浮到跟蹤對應儲存服務列的內容上,然後單擊SLS日誌庫名稱。Object Storage Service:各成員中產生的全域事件,將與Home地區的事件放在一起。非全域事件存放在資源歸屬的地區目錄下。您可以通過Elastic MapReduce服務或自行授予第三方日誌分析服務分析此事件的許可權。
您也可以在跟蹤頁面將滑鼠懸浮到跟蹤對應儲存服務列的內容上,然後單擊OSS Bucket名稱,最後選擇。關於OSS儲存路徑的更多資訊,請參見事件投遞到OSS儲存空間後,儲存路徑是怎樣的?。
MaxCompute:Action Trail會自動建立一個名為actiontrail_<跟蹤名稱>的資料表(Table)。您可以在跟蹤頁面將滑鼠懸浮到跟蹤對應儲存服務列的內容上,然後單擊MaxCompute專案名稱。通過使用DataWorks串連的方式查詢MaxCompute專案中actiontrail_<跟蹤名稱>Table Store的日誌資料。
相關文檔
建立跟蹤後,您可在對應的儲存服務中查詢成員的事件,具體操作,請參見通過SLS或OSS控制台查詢事件。
當您建立跟蹤將事件投遞到Log ServiceSLS時,可通過進階查詢功能查詢成員的事件。具體操作,請參見自訂查詢事件。