Action Trail僅預設為每個阿里雲帳號記錄最近90天的事件,為了滿足長期儲存和合規性回溯的需求,您可以建立跟蹤,將後續新產生的事件投遞到Log ServiceSLS或Object Storage Service中,確保您後續能夠查看並分析超過90天的事件詳情。本文為您介紹單帳號跟蹤的工作原理和使用情境。
工作原理
建立單帳號跟蹤並投遞到Log ServiceSLS或Object Storage Service,事件會以JSON格式儲存在SLS Logstore或OSS儲存空間中,便於您後續查詢、分析或長時間儲存事件。您可以按需選擇儲存服務:
如果您需要查詢或分析事件,可以將事件投遞到Log ServiceSLS。新產生的事件通常會在1分鐘內投遞至您的SLS LogStore。
如果您需要長時間儲存事件(歸檔事件),可以將事件投遞到Object Storage Service。新產生的事件通常會在10分鐘內投遞至您的OSS儲存空間。
Action Trail會按照一定規則對事件進行彙總,然後將事件投遞到您的OSS儲存空間。通常每5分鐘的多個事件會彙總為一個檔案,如果您的事件非常多,則每5分鐘會產生多個檔案。
單帳號跟蹤原理如下圖所示。
使用情境
多個單帳號跟蹤可以解決以下問題:
建立多個單帳號跟蹤可以將不同的資料投遞到不同的儲存空間,並授予企業角色相應的許可權,從而實現不同角色審計不同範圍的事件。
建立多個單帳號跟蹤到不同地區,分別投遞到當地的儲存空間,可以合規管理多地區的審計資料。
為事件建立多個副本備份,以免資料丟失。
說明
當您使用多個單帳號跟蹤時,建議您不要將多個單帳號跟蹤設定為同一個投遞地址,這可能造成事件的重複投遞和儲存空間的浪費。