更新时间:2024-05-21 GMT+08:00
通过云日志服务LTS存储和查询审计事件
云审计服务(CTS)直接对接华为云上的其他服务,实时记录用户对云服务资源的操作动作和结果,还支持将记录内容以事件文件形式保存至OBS桶或LTS日志流中。本文以“创建云服务器”(操作名称:createServer)为例,为您介绍如何通过云日志服务(LTS)存储和查询审计事件。
前提条件
请确保已开通云审计服务。具体操作,请参见开通云审计服务。
配置LTS转储
- 登录云审计控制台。
- 单击左侧导航树的“追踪器”,进入追踪器信息页面。
- 在管理类追踪器信息右侧,单击操作下的“配置”。
图1 追踪器配置
- 设置追踪器的基本信息,单击“下一步”。
参数名称
说明
追踪器名称
默认为system,不可修改。
排除KMS事件
默认不勾选。勾选后,追踪器将不会转储用户对数据加密服务(DEW)的相关操作。
说明:数据加密服务(DEW)的相关审计操作请参考数据加密服务相关的操作事件。
- 在配置转储页面,打开“转储到LTS”开关,系统会自动在LTS创建日志组:CTS,日志流:system-trace,操作事件将转储到日志流中。
- 单击“下一步 > 配置”,完成配置system追踪器。追踪器配置成功后,您可以在追踪器信息页面查看配置的追踪器的详细信息。
在云日志服务LTS查询审计事件
- 在追踪器页面,单击system追踪器右侧的LTS日志流名称,进入到system-trace日志流详情页面。
图2 单击日志流名称
图3 system-trace日志流页面
- 单击右上角的“15分钟(相对)”,设置查询的时间范围。
- 在搜索框中输入trace_name : createServer,单击查询,查询创建云服务器的事件详情。
