场景描述
云审计服务能够为您提供云服务资源的操作记录,记录的信息包括发起操作的用户身份、IP地址、具体的操作内容的信息,以及操作返回的响应信息。根据这些操作记录,您可以很方便地实现安全审计、问题跟踪、资源定位,帮助您更好地规划和利用已有资源、甄别违规或高危操作。
什么是事件
事件即云审计服务追踪并保存的云服务资源的操作日志,操作包括用户对云服务资源新增、修改、删除等操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。
约束与限制
用户通过云审计控制台只能查询最近7天的操作记录,过期自动删除,不支持人工删除。如果需要查询超过7天的操作记录,您必须配置转储到对象存储服务(OBS)或云日志服务(LTS),才可在OBS桶或LTS日志组里面查看历史事件信息。否则,您将无法追溯7天以前的操作记录。
用户对云服务资源做出创建、修改、删除等操作后,1分钟内可以通过云审计控制台查询管理类事件操作记录,5分钟后才可通过云审计控制台查询数据类事件操作记录。
在CTS查看审计事件
登录控制台,单击左上角
,选择“管理与部署 > 云审计服务 CTS”,进入云审计服务页面。
单击左侧导航栏的“事件列表”,进入事件列表信息页面。
在页面右上方,可以通过筛选时间范围,查询最近1小时、最近1天、最近1周的操作事件,也可以自定义最近7天内任意时间段的操作事件。
事件列表支持通过筛选来查询对应的操作事件
参数名称 说明 事件类型 事件类型分为“管理事件”和“数据事件”。
- 管理类事件,即用户对云服务资源新建、修改、删除等操作事件。
- 数据类事件,即OBS服务上报的OBS桶中的数据的操作事件,例如上传数据、下载数据等。
云服务 在下拉选项中,选择触发操作事件的云服务名称。 资源类型 在下拉选项中,选择操作事件涉及的资源类型。
支持的资源类型请参见云审计服务支持的态势感知(专业版)操作列表。
筛选类型 筛选类型分为“资源ID”、“事件名称”和“资源名称”。
资源ID:操作事件涉及的云资源ID。
当该资源类型无资源ID,或资源创建失败时,该字段为空。
事件名称:操作事件的名称。
支持审计的操作事件的名称请参见云审计服务支持的态势感知(专业版)操作列表。。
资源名称:操作事件涉及的云资源名称。
当事件所涉及的云资源无资源名称,或对应的API接口操作不涉及资源名称参数时,该字段为空。
操作用户 触发事件的操作用户。
下拉选项中选择一个或多个操作用户。
查看事件中的trace_type的值为“SystemAction”时,表示本次操作由服务内部触发,该条事件对应的操作用户可能为空。
事件级别 可选项包含“所有事件级别”、“Normal”、“Warning”、“Incident”,只可选择其中一项。
- Normal代表操作成功。
- Warning代表操作失败。
- Incident代表比操作失败更严重的情况,如引起其他故障等。
选择完查询条件后,单击“查询”。
在事件列表页面,您还可以导出操作记录文件和刷新列表。
单击“导出”按钮,云审计服务会将查询结果以CSV格式的表格文件导出,该CSV文件包含了本次查询结果的所有事件,且最多导出5000条信息。
单击
按钮,可以获取到事件操作记录的最新信息。
在需要查看的事件左侧,单击
展开该记录的详细信息。
在需要查看的记录右侧,单击“查看事件”,会弹出一个窗口显示该操作事件结构的详细信息。
