本文介绍如何通过操作审计(ActionTrail)产品查看Flink审计事件。
背景信息
操作审计(ActionTrail)可以帮助您监控并记录阿里云账号的活动,包括通过阿里云控制台、OpenAPI、开发者工具对云上产品和服务的访问和使用行为。您可以将这些行为事件下载或保存到日志服务SLS或对象存储OSS,然后进行行为分析、安全分析、资源变更行为追踪和行为合规性审计等操作。ActionTrail的详细信息,请参见什么是操作审计。
阿里云Flink全托管已经对接阿里云操作审计(ActionTrail),无需付费,您就可以在ActionTrail中获取资源的操作事件和相关信息的场景。
使用限制
只有单账号跟踪的事件可以通过操作审计控制台查询,且每秒最多可以查询两次。多账号跟踪的事件不能通过操作审计控制台查询,只能在对应的SLS Logstore或OSS存储空间中查询。具体操作,请参见查询多账号跟踪的事件。
操作审计事件查询功能只能查询当前地域最近90天的事件。
云上操作后10分钟才可以通过操作审计控制台查询相关事件。
操作步骤
登录操作审计控制台。
在左侧导航栏,单击。
在顶部导航栏选择您想查询事件的地域。
在事件查询页面输入搜索条件,设置查询的时间范围,然后单击
图标。说明您可以设置读写类型、操作者名称、云服务名称、事件名称、关联资源类型、关联资源名称、AccessKey ID、是否敏感操作和事件 ID单个搜索条件来过滤查询事件。
您只能在新加坡地域查询全局事件。
找到待查询的事件,单击对应事件操作列下的查看事件详情。
用户删除部署作业的事件记录示例如下。
{ "eventId": "48deee2f-a38b-440b-aae4-168640afd6b8", "eventVersion": 1, "responseElements": {}, "errorMessage": "", "eventSource": "RealtimeCompute", "requestParameters": {}, "sourceIpAddress": "140.**.**.19", "userAgent": "RealtimeCompute", "eventRW": "Write", "eventType": "ApiCall", "referencedResources": { "ACS::RealtimeCompute::Deployment": [ "47eb63e1-79b8-4192-9cd2-059ec5d7****", "guiyuan-kafka-writer" ] }, "userIdentity": { "accessKeyId": "null", "sessionContext": { "attributes": { "mfaAuthenticated": "true", "userDisplayName": "25265763711933****", "user": "25265763711933****" } }, "accountId": "1016954307248737", "principalId": "25265763711933****", "type": "ram-user", "userName": "25265763711933****" }, "serviceName": "RealtimeCompute", "additionalEventData": { "namespace": "NamespaceRef(name=Optional[daily-instance-not-delete-default])" }, "requestId": "202306021408-LFMZBC059T", "eventTime": "2023-06-02T06:08:21Z", "isGlobal": false, "acsRegion": "cn-beijing", "eventName": "DeleteDeployment" }
实时计算Flink版事件列表
实时计算Flink版支持在操作审计中查询的事件请参见实时计算Flink版的审计事件。