操作審計(ActionTrail)幫助您監控并記錄阿裡雲賬号的活動,包括通過阿裡雲控制台、OpenAPI、開發者工具對雲上産品和服務的通路和使用行為,記錄為記錄檔。
操作審計支援所有阿裡雲賬号的免開通服務,預設為所有賬号記錄并存儲近 90 天的日志。但在實際應用中,受法律法規和企業審計标準的要求,企業往往需要保留 180 天及以上的審計日志,還需要對這些日志進行複雜的行為分析、安全分析、運維監控,以應對企業的審計合規要求。此時就需要您在操作審計,通過建立跟蹤來記錄更長時間的日志,并儲存到雲上存儲空間。
什麼是跟蹤
跟蹤,即持續持續且實時地把您的雲賬号在阿裡雲上的操作事件投遞到您的存儲服務,如 SLS 或 OSS。
操作事件,即使用者在阿裡雲控制台、OpenAPI、開發者工具通路和管控雲上服務所産生的事件記錄。
目前跟蹤是自動持續地投遞新産生的操作事件。曆史 90 天的事件暫不支援補投,我們會盡快支援。是以建議您先建立跟蹤,以免找不到曆史事件。
跟蹤适用但不限于以下場景:
• 将您的雲賬号下所有記錄檔導出
• 将記錄檔儲存更長時間
• 對記錄檔進行分析統計
建立跟蹤
登陸[操作審計控制台](
https://actiontrail.console.aliyun.com/cn-hangzhou/event-list,點選【跟蹤清單】-【建立跟蹤】。
下面對一些重要配置做詳細說明。
跟蹤名稱
跟蹤名稱在賬号中唯一。跟蹤名稱必須以小寫字母開頭,隻能包括小寫字母、數字、連字元(-)和下劃線(_), 長度在6~32位。
推薦
推薦取一個有意義的名字,友善管理。
跟蹤地域
即要投遞哪些地域的資料。預設是所有地域。
您的雲賬号可能在阿裡雲所有地域都會産生操作事件,您可以選擇投遞所有地域的事件,也可以僅投遞部分地域的事件。
比較容易混淆的是“跟蹤地域”和“Home地域”,“Home地域”指的是 ”建立跟蹤的地域“。比如您在操作審計杭州地域( https://actiontrail.console.aliyun.com/cn-hangzhou )建立一個跟蹤,則 “Home地域” 是杭州。該跟蹤可以投遞所有地域的資料,也可以僅投遞部分地域,例如隻投遞杭州、上海,則“跟蹤地域”是杭州和上海。
操作審計的事件可分為全局事件和非全局事件。全局事件是全局服務的操作事件,如控制台登陸,RAM 産品的操作事件等。非全局事件則是各個地域單獨産生的事件,比如在杭州調用 ECS 的 API。
操作審計在阿裡雲各個地域都有部署,針對全局事件,需要注意的是:
• 如果在操作審計杭州(
)建立跟蹤,跟蹤地域設定為上海(或其他除杭州外的地域),則該跟蹤隻會投遞上海的事件,您的 OSS/SLS 中隻會接收到上海地域的非全局事件。
• 如果在操作審計上海(
https://actiontrail.console.aliyun.com/cn-shanghai)建立跟蹤,跟蹤地域設定為杭州,則該跟蹤隻會隻投遞杭州的事件,但您的 OSS/SLS 中可能會接收到杭州的非全局事件和全局事件。這是因為全局事件一般在杭州地域産生。
是以為了簡單起見,建議您如果隻想使用跟蹤投遞部分地域的事件,就對應地域建立跟蹤。例如跟蹤地域為上海,就在操作審計上海(
)建立跟蹤。
除明确需要跟蹤某個地域,推薦選擇“所有地域”。
跟蹤部分地域時,建議“跟蹤地域”和“Home地域”保持一緻。例如:
• 跟蹤地域為 “上海”,則在操作審計上海(
• 跟蹤地域為 “上海” 和 “杭州”,有兩種方式:
• a. 在操作審計上海(
)和杭州(
)各建立一個跟蹤
• b. 在操作審計上海(
)或杭州(
)建立一個跟蹤
事件類型
阿裡雲操作事件分為寫事件和讀事件。
• 寫事件:指可能增加、删除或修改雲上資源,或修改雲資源配置的操作 。如 CreateInstance (建立一台包年包月或者按量付費ECS執行個體)等。
• 讀事件:指本身沒有在雲上增加、删除或修改配置的操作意圖,也不會對雲上配置造成變更,僅讀取雲上産品和資源的資訊。例如:DescribeInstances(查詢一台或多台ECS執行個體的詳細資訊)等。
•
如果選擇“寫事件“,則隻會導出寫事件。如果選擇所有事件,則會投遞所有事件,包括 “讀事件” 和 “寫事件”。
建議
如果您需要投遞雲賬号下所有的操作事件,則選擇“所有事件”。
如果您導出操作事件是為了進行自定義分析,并且您隻關注會影響雲資源的事件,則可以選擇“寫事件”。
審計事件投遞
“審計事件投遞”,指的是将操作事件投遞到您指定的存儲服務,操作審計支援投遞到 SLS 或 OSS。這裡是多選,您可以僅投遞到 SLS 或 OSS,也可以同時投遞到 SLS 及 OSS。
如果您隻是對操作事件進行歸檔,以後也不需要對事件進行複雜分析,則推薦 OSS。OSS 存儲成本比 SLS 低。
如果您需要對操作事件進行分析,或需要再将操作事件導出到 MaxCompute、EMR 等其他産品,則需要選擇 SLS。
将事件投遞到日志服務SLS
即把阿裡雲上的操作事件投遞到您的 SLS 中。
您可以選擇已有的 LogProject(日志項目),也可以讓操作審計幫您建立一個新的 LogProject。
無論是選擇已有日志項目還是建立新的 LogProject,操作審計都将在對應 LogProject 中建立一個 LogStore,LogStore 的名稱為 actiontrail_{trail_name},其中 trail_name 是您的跟蹤名稱。例如跟蹤名為 trail-all,則對應 LogStore 名稱為actiontrail_trail-all。
如果使用 OpenAPI 建立跟蹤,則必須事先已有logstore,且名稱規則為actiontrail_{trail_name}
日志庫所屬地域
操作審計支援将事件投遞到任意地域的日志項目。但建議日志庫所屬地域和目前操作審計的地域保持一緻。
日志庫所屬地域和目前操作審計的地域保持一緻。比如目前操作審計地域是杭州,則建議使用杭州的日志項目。因為同地域投遞可以降低網絡延遲。
将事件投遞到對象存儲 OSS
即把阿裡雲上的操作事件投遞到您的 OSS 中。
您可以選擇已有的 OSS Bucket(存儲桶),也可以讓操作審計幫您建立一個新的 OSS Bucket。
操作事件在 OSS 中以檔案形式存放。預設沒有字首,檔案名示例: AliyunLogs/Actiontrail/cn-hangzhou/2020/08/03/Actiontrail_cn-hangzhou_20200803040208_1002_2_613_xxx.gz。您也可以指定字首,如字首為 my-data,則日志檔案為 my-data/AliyunLogs/Actiontrail/cn-hangzhou/2020/08/03/Actiontrail_cn-hangzhou_20200803040208_1002_2_613_xxx.gz。
如果使用 OpenAPI 建立跟蹤,則必須事先已有 OSS Bucket。
開啟服務端加密
将事件投遞到 OSS 時支援
OSS 服務端加密,加密算法有 AES256 和
KMS。
使 KMS 加密需要先開通 KMS 服務。隻有控制台建立跟蹤并選擇建立 OSS Bucket 時支援設定加密方式,如果使用已有的 OSS Bucket,則需要提前設定 Bucket 的加密方式。
常用場景的跟蹤配置示例
《等保2.0》要求雲上資訊系統的日志至少儲存180天
操作審計僅支援線上查詢 90 天内的記錄檔,但《等保2.0》(即《網絡安全等級保護2.0制度》)要求雲上資訊系統的日志至少儲存 180 天。是以您需要使用“跟蹤”将資料投遞到您的存儲服務,以儲存 180 天以上或永久存儲。
如果您确定不需要自定義分析日志,那麼為了節省成本,推薦使用成本更低的 OSS 存儲;否則選擇 SLS。示例配置如下:
• 适用跟蹤到所有的地域:是
• 事件類型:所有類型
• 選擇投遞服務: OSS。
将操作事件導出到 MaxCompute
為了分析操作事件,您可能需要将資料導入到
MaxCompute。您可以先建立跟蹤,使用跟蹤将操作事件投遞到 SLS,然後通過 SLS 将資料導出到 MaxCompute。
跟蹤配置如下:
• 适用跟蹤到所有的地域:是。
• 事件類型:所有類型。
• 選擇投遞服務:SLS。
然後在
操作審計控制台【跟蹤清單】頁面,可以看到您建立的跟蹤,點選【日志服務】可以跳轉到 SLS 控制台,檢視跟蹤的操作事件。
在 SLS 控制台,選擇 Logstore 中選擇 【資料處理】-【導出】-【MaxCompute】,即可将資料導出到 MaxCompute。參考文檔:
通過日志服務投遞日志到MaxCompute對敏感操作進行分析、報警
在某些場景下,您可以要分析賬号中的敏感操作,比如産生訂單、删除資源等操作,并針對這些操作進行報警,這時推薦您使用跟蹤将操作事件投遞到您的 SLS,然後再利用 SLS 進行分析報警。
• 事件類型:寫類型。一般敏感操作都是 “寫類型”,這樣可以減少資料量節省成本。如果您也關注“讀類型”的事件,則需要選擇“所有類型”。
• 選擇投遞服務:勾選 SLS。
跟蹤建立完畢後,在 SLS 中就可以針對操作事件進行分析、報警。參考文檔:
設定告警既要分析日志也想要低成本永久存儲日志
可以先将資料導出到 SLS,再通過 SLS 導出到 MaxCompute 或 OSS。然後 SLS 中的資料存儲時長可以設定短一點,例如一個月甚至一周,再定時将 SLS 中的資料導入到 MaxCompute 或 OSS 進行永久存儲。
• 存儲成本:SLS > MaxCompute > OSS。
FAQ
如何檢視導出的操作事件?
在[操作審計控制台]
(
https://actiontrail.console.aliyun.com/cn-hangzhou/event-list)【跟蹤清單】頁面,可以看到您建立的跟蹤。然後可以點選 “OSS Bucket名稱” 或 “日志服務” 進行跳轉,在 OSS 或 SLS 控制台檢視操作事件資料。
如何選擇投遞服務
如何更改 SLS 日志存儲時長?
建立投遞服務時,如果選擇了建立 SLS,則操作審計會幫您建立一個 SLS Project,和一個以名為 actiontrail_{trail_name} 開頭的 logtail,logtail 預設永久儲存日志。
actiontrail_{trail_name}中 trail_name 為跟蹤名稱。
如果您想要更改 SLS 日志存儲時長,則可以在 SLS 控制台,找到對應的 SLS Project 以及 logtail,修改存儲時長。