全部产品

操作审计：长期存储完整的事件

更新时间：Jan 18, 2024

操作审计仅默认为每个阿里云账号存储最近90天的事件。如果您需要查询更长时间的操作事件（例如：等保2.0要求将操作事件保存180天及以上），您可以通过创建跟踪和数据回补投递任务，将完整的事件长期存储到SLS中。否则，将无法追溯90天以前的事件。本文为您介绍如何长期存储完整的事件详情。

前提条件

请确保您已开通日志服务SLS。
当您首次使用日志服务时，需要登录日志服务控制台，根据页面提示开通日志服务。更多信息，请参见什么是日志服务。
请确保您已经通过提交工单，获取数据回补投递任务的使用权限。

背景信息

创建跟踪仅能投递跟踪创建时间之后的事件，为了将最近90天的事件进行完整的保存，您还需创建数据回补投递任务，补投递跟踪创建时间往前一段时间的事件。

补投递的历史时间范围的开始时间为当前时间往前90天，结束时间为数据回补投递任务关联的跟踪生效后5分钟。例如：您创建数据回补投递任务时关联跟踪A已经创建了40天，数据回补投递任务将投递跟踪A创建时间往前50天的跟踪历史。

说明

数据回补投递任务仅支持将单账号跟踪的任务投递到日志服务SLS。
一个阿里云账号同时只能存在一个正在运行的投递任务。

步骤一：创建单账号跟踪并将事件投递到日志服务SLS

登录操作审计控制台。
在左侧导航栏，单击跟踪。
在顶部菜单栏，选择您想创建单账号跟踪的地域。
说明
该地域将成为单账号跟踪的Home地域，即创建跟踪的地域。
在跟踪页面，单击创建跟踪。

在创建跟踪页面，设置跟踪的相关参数。

在基本信息区域，设置跟踪名称和管控事件类型。
说明
系统默认将跟踪投递的地域设置为全部地域。推荐您将管控事件设置为所有事件，以便跟踪全部地域的全部事件。关于参数的更多信息，请参见创建单账号跟踪。

在审计事件投递区域，设置将跟踪投递到本账号的日志服务SLS。

参数

描述

日志库所属地域

日志项目所在地域。

日志项目名称

日志服务SLS中日志项目的名称。

说明

日志项目名称为所有阿里云用户共用，不可重复。

当您选中创建新的日志项目时，将通过操作审计控制台新建日志项目，输入日志项目名称。
当您选中选择已有的日志项目时，在日志服务SLS中选择已有日志项目名称。
关于如何在日志服务SLS中新建日志项目，请参见快速入门。

单击确认。

步骤二：创建数据回补投递任务

在左侧导航栏，单击数据回补。
在顶部菜单栏，选择您需要投递任务的地域。
说明
该地域必须与单账号跟踪所在地域相同。
在数据回补页面，单击创建任务。
在创建任务页面，选择跟踪。
说明
选择跟踪后，系统将自动填入跟踪的地域、日志项目地域、日志项目名称和日志库信息。
单击确定。
创建任务后，您可以在数据回补页面查看任务的投递状态，确保任务成功投递。

步骤三（可选）：查询完整的事件

在左侧导航栏，单击跟踪。
在顶部菜单栏，选择您单账号跟踪和数据回补投递任务所在的地域。
在跟踪页面，将鼠标悬浮到目标跟踪存储服务列的SLS或SLS&OSS上，然后单击SLS日志库名称。
单击最近15分钟，设置查询的时间范围。
输入SQL语句，单击查询/分析，查询事件详情。

相关文档

关于查询与分析事件详情的具体操作，请参见查询和分析日志。
关于更多查询与分析事件的SQL语句详情，请参见如何在SLS设置SQL语句查询操作审计的事件。
当您在查询与分析事件时，可能会遇到一些问题，具体详情，请参见查询与分析常见问题。