建立單帳號跟蹤可以將事件投遞到Object Storage Service、Log ServiceSLS或MaxCompute,以便對事件進行分析。Action Trail預設為每個阿里雲帳號記錄最近90天的事件,如果不建立跟蹤,您將無法追溯90天以前的事件。本文為您介紹如何通過Action Trail控制台建立單帳號跟蹤。
背景資訊
當您使用阿里雲帳號投遞事件時,將投遞阿里雲帳號和阿里雲帳號中所有RAM使用者相關的事件。當您使用RAM使用者投遞事件時,需要先授予RAM使用者管理單帳號跟蹤的許可權。具體操作,請參見為RAM使用者授權。
Action Trail支援建立多個單帳號跟蹤。為避免全域事件的重複記錄,當您建立單帳號跟蹤將事件投遞到OSS儲存空間後,全域事件預設與Home地區(建立跟蹤時所選的地區)的事件在同一個目錄下。
操作步驟
在左側導覽列,單擊跟蹤。
在頂部導覽列選擇您想建立單帳號跟蹤的地區。
說明該地區將成為單帳號跟蹤的Home地區,即建立跟蹤的地區。
在跟蹤頁面,單擊创建跟踪。
在建立跟蹤頁面,設定跟蹤的相關參數。
基本資料
參數
說明
跟踪名称
跟蹤的名稱,該名稱將用於在SLS中對Logstore命名。
說明跟蹤名稱不可重複。
跟蹤配置
跟蹤投遞的事件。取值:
管控事件:系統預設選中管控事件,請選擇事件類型。取值:
所有事件:讀事件和寫事件。審計相關的法規和標準均強調對審計事件的完整記錄,建議您選擇所有事件。
寫事件:增加、刪除或修改雲上資源的事件,例如:CreateInstance (建立一台訂用帳戶或者隨用隨付的ECS執行個體)。如果您僅匯出事件進行自訂分析,且只關注會影響雲資源的事件,則選擇寫事件。
讀事件:本身沒有在雲上增加、刪除或修改配置的操作意圖,也不會對雲上配置造成變更,僅讀取雲端服務資源資訊的事件,例如:DescribeInstances(查詢一台或多台ECS執行個體的詳細資料)。讀事件一般事件量非常大,會佔用較多儲存空間。但審計相關法規和標準均強調對審計事件的完整記錄,所以建議您同時投遞讀事件,以便完整還原AccessKey的使用歷史和資源的訪問歷史。
Insights事件:請根據實際情況選擇。選中Insights事件後,管控事件的事件類型會預設選中所有事件,Action Trail會基於管控事件識別存在風險的API呼叫事件、API錯誤事件、IP請求事件、AccessKey呼叫事件、許可權變更事件、密碼變更事件和隱匿行蹤事件並產生Insights事件。關於Insights事件的更多資訊,請參見Insights事件概覽。
說明當您通過Action Trail控制台建立跟蹤時,預設將跟蹤投遞的地區設定為全部地區。如果需要建立部分地區的跟蹤,請調用建立跟蹤介面設定TrailRegion參數。
審計事件投遞
您可以將跟蹤分別投遞到Log ServiceSLS、Object Storage Service或MaxCompute,或者同時進行投遞。關於如何選擇儲存服務,請參見將事件持續投遞到指定服務。
說明目前投遞的事件範圍,是單帳號跟蹤生效後產生的新事件,不包括原有的最近90天事件。您可以建立資料回補投遞任務,將最近90天的事件一次性補投遞到您跟蹤指定的地址,最大限度、最大範圍滿足您的需求。具體操作,請參見建立資料回補投遞任務。
選擇将事件投递到日志服务SLS
選擇投遞到本帳號,設定如下參數。
參數
描述
記錄項目
選擇事件投遞到Log ServiceSLS的記錄項目方式。
建立新的記錄項目
選擇已有的記錄項目
日志库所属地域
記錄項目所在地區。
日志项目名称
Log ServiceSLS中記錄項目的名稱。
說明記錄項目名稱為所有阿里雲使用者共用,不可重複。
當您選中创建新的日志项目時,將通過Action Trail控制台建立記錄項目,輸入記錄項目名稱。
當您選中选择已有的日志项目時,在Log ServiceSLS中選擇已有記錄項目名稱。
關於如何在Log ServiceSLS中建立記錄項目,請參見快速入門。
說明投遞成功後Action Trail會自動建立一個名為
actiontrail_<跟蹤名稱>的日誌庫(Logstore),該Logstore會自動幫您設定審計最佳配置,建立查詢所需索引和儀錶盤,並禁止使用者寫入,保證審計資料的準確性。您無需提前建立Logstore。
選擇投遞到其他帳號,設定記錄項目ARN和日誌寫入角色ARN。
選擇投遞到其他帳號時需要先在目標帳號中建立RAM角色,授予Action Trail服務向目標帳號投遞事件的許可權,並提前建立記錄項目。具體操作,請參見將多個阿里雲帳號的事件投遞到同一帳號。
選擇将事件投递到对象存储OSS
選擇投遞到本帳號,設定如下參數。
參數
描述
儲存空間
選擇事件投遞到Object Storage Service的儲存空間方式。
建立新的儲存空間
選擇已有的儲存空間
儲存空間名稱
Object Storage Service中儲存空間的名稱。同一帳號下,儲存空間名稱不能重複。
當您選中建立新的儲存空間時,通過Action Trail控制台建立儲存空間,輸入儲存空間名稱。
當您選中選擇已有的儲存空間時,在Object Storage Service中選擇已有儲存空間名稱。
關於如何在Object Storage Service中建立儲存空間,請參見建立儲存空間。
重要若您建立的儲存空間位於中國內地,您需要在實名登記頁面提交相關資訊。
日志文件前缀
事件存放的記錄檔首碼,方便後續尋找事件。
开启服务端加密
儲存空間中的記錄檔是否加密。當您選中建立新的儲存空間時,需要設定該參數。取值:
OSS完全託管:使用OSS託管的密鑰進行加密。OSS會為每個Object使用不同的密鑰進行加密,作為額外的保護,OSS會使用定期輪轉的主要金鑰對加密金鑰本身進行加密。
KMS:使用密鑰管理KMS進行加密。使用KMS加密方式前,需要開通KMS服務。具體步驟,請參見購買和啟用KMS執行個體。
不開啟:不啟用伺服器端加密。
開啟合規保留
Object Storage Service支援WORM特性,您可以在合規保留原則的保留周期內以“不可刪除、不可篡改”的方式儲存和使用OSS資料。取值:
不開啟(預設值)
開啟
選擇投遞到其他帳號,設定儲存空間角色ARN、儲存空間名稱和日志文件前缀。
選擇投遞到其他帳號時需要先在目標帳號中建立RAM角色,授予Action Trail服務向目標帳號投遞事件的許可權,並提前建立OSS儲存空間。具體操作,請參見將多個阿里雲帳號的事件投遞到同一帳號。
選擇將事件投遞到MaxCompute
選擇投遞到本帳號,設定如下參數。
參數
描述
MaxCompute地區
投遞資料的MaxCompute專案所在地區。
說明Action Trail會將審計日誌投遞至MaxCompute指定地區下的actiontrail_<阿里雲帳號ID> 專案中。因MaxCompute專案名稱帳號唯一,若帳號下已有actiontrail_<阿里雲帳號ID> 的專案,將預設投遞至已有專案下。
MaxCompute專案Quota
MaxCompute的配額。
說明建立跟蹤首次投遞到MaxCompute時,需要選擇MaxCompute的配額,若當前地區下無可選配額,請選擇其他MaxCompute地區。
選擇投遞到其他帳號,設定MaxComputeARN和MaxCompute寫入角色ARN。
選擇投遞到其他帳號時需要先在目標帳號中建立RAM角色,授予Action Trail服務向目標帳號投遞事件的許可權,並提前建立MaxCompute專案。具體操作,請參見將多個阿里雲帳號的事件投遞到同一帳號。
單擊確認。
執行結果
建立單帳號跟蹤後,事件會以JSON格式儲存在SLS Logstore、OSS儲存空間或MaxCompute資料表中,便於您對事件進行查詢和分析。您可以在Log ServiceSLS、Object Storage Service或MaxCompute中查看事件:
Log ServiceSLS:Action Trail會自動建立一個名為
actiontrail_<跟蹤名稱>的日誌庫(Logstore)。您可以在跟蹤頁面將滑鼠懸浮到跟蹤對應儲存服務列的內容上,然後單擊SLS日誌庫名稱。Object Storage Service:您可以通過Elastic MapReduce服務或自行授予第三方日誌分析服務分析此事件的許可權。
您也可以在跟蹤頁面將滑鼠懸浮到跟蹤對應儲存服務列的內容上,然後單擊OSS Bucket名稱,最後選擇。關於OSS儲存路徑的更多資訊,請參見事件投遞到OSS儲存空間後,儲存路徑是怎樣的?。
MaxCompute:Action Trail會自動建立一個名為actiontrail_<跟蹤名稱>的資料表(Table)。您可以在跟蹤頁面將滑鼠懸浮到跟蹤對應儲存服務列的內容上,然後單擊MaxCompute專案名稱。通過使用DataWorks串連的方式查詢MaxCompute專案中actiontrail_<跟蹤名稱>Table Store的日誌資料。