跟蹤是一種重要的配置機制,您可以使用跟蹤功能,將雲端服務中發生的事件儲存到指定的OSS儲存空間或SLS Logstore中,以便後期分析和長期儲存。Action Trail僅預設為每個阿里雲帳號記錄最近90天的事件,您必須建立跟蹤才能記錄更長時間的事件,否則將無法追溯90天以前的事件。本文為您介紹跟蹤的工作原理、使用情境等內容。
工作原理
跟蹤的工作原理如下圖所示。
使用情境
在阿里雲Action Trail服務(ActionTrail)中,跟蹤(Trail)是個非常推薦的功能,您可以通過跟蹤中心化收集更長時間的審計日誌後,用於安全監控、合規審計、故障診斷、資源變更追蹤等多個領域。以下是跟蹤收集到審計日誌後一些具體的使用情境:
安全監控與保障
可疑活動檢測:通過監控非典型的API調用或來自異常地理位置的請求,可以檢測潛在的安全威脅或未授權的活動。
使用者行為分析:審計日誌中的跟蹤資料可以用來分析使用者的行為模式,並發現任何不符合正常使用模式的操作。
許可權變更跟蹤:使用多帳號跟蹤,監控對RAM策略和使用者權限的變更,以確保只有授權使用者才能進行關鍵操作。
合規審計
操作記錄儲存:為了滿足法律法規要求,企業可能需要長期儲存他們的操作記錄。多帳號跟蹤可以將動作記錄儲存在OSS中以供未來審查。
合規報告:利用跟蹤資料產生合規報告,展示企業遵循特定的安全標準和政策。
資源變更管理
資源生命週期管理:通過跟蹤資源的建立、修改和刪除事件,可以管理整個資源的生命週期。
環境狀態變更審計:在多人合作的環境中,可以通過多帳號追蹤記錄誰在何時對環境做了什麼更改,以確保環境的穩定性。
故障診斷與營運
服務故障分析:在出現服務中斷或效能下降時,可以使用追蹤記錄檔來分析事件前後的操作,以協助確定故障原因。
配置變更追蹤:記錄對雲資源配置的所有更改,協助識別可能導致服務中斷的配置錯誤。
基本概念
概念 | 說明 |
跟蹤 | 跟蹤是一種配置,用於將事件儲存到指定的OSS儲存空間或SLS Logstore,以便進一步分析和儲存。根據建立者、作用範圍和投遞內容的不同,分為單帳號跟蹤、多帳號跟蹤和平台事件跟蹤。 |
單帳號跟蹤 | 個人使用者需要將Action Trail事件投遞到Log ServiceSLS或Object Storage Service時,可以建立單帳號跟蹤。 通過建立多個單帳號跟蹤,可以實現以下需求:
關於單帳號跟蹤的更多資訊,請參見單帳號跟蹤概覽。 |
多帳號跟蹤 | 企業使用者(開通了資來源目錄的企業)需要將資來源目錄內的所有成員的Action Trail事件投遞到Log ServiceSLS或Object Storage Service時,可以建立多帳號跟蹤。 關於多帳號跟蹤的更多資訊,請參見多帳號跟蹤概覽。 |
平台事件跟蹤 | 個人使用者需要將阿里雲營運團隊針對使用者服務的維護操作所產生的事件投遞到Log ServiceSLS時,可以建立平台事件跟蹤。 關於平台事件跟蹤的更多資訊,請參見平台Action Trail概覽。 |
管理帳號 | 管理帳號是資來源目錄的超級管理員,也是開通資來源目錄的初始帳號,對其建立的資來源目錄和成員擁有完全控制許可權。只有通過企業實名認證的阿里雲帳號才能開通資來源目錄,每個資來源目錄有且只有一個管理帳號。 |
成員 | 在資來源目錄內,成員作為資源容器,是一種資源分組單位。成員通常用於指代一個專案或應用,每個成員中的資源相對其他成員中的資源是物理隔離的。您可以通過管理帳號授予RAM使用者、RAM使用者組或RAM角色對成員內資源的存取權限。 成員被管理帳號邀請進入資來源目錄,或由管理帳號在資來源目錄內直接建立。 |
委派管理員帳號 | 資來源目錄的管理帳號可以將資來源目錄中的成員設定為可信服務的委派管理員帳號。設定成功後,委派管理員帳號將獲得管理帳號的授權,可以在對應可信服務中訪問資來源目錄組織和成員資訊,並在該組織範圍內進行業務管理。 關於委派管理員帳號的更多資訊,請參見管理委派管理員帳號。 |
多帳號跟蹤和單帳號跟蹤的區別
跟蹤類型 | 建立帳號 | 投遞事件範圍 | 事件查詢方式 | 建立的最大跟蹤數目 | 建立方式 |
單帳號跟蹤 | 阿里雲帳號 | 阿里雲帳號下的事件 |
| 每個地區5個 | |
多帳號跟蹤 | 委派管理員帳號(或者管理帳號) | 所有成員的事件 | 委派管理員帳號(或者管理帳號):
| 所有地區1個 |