通过云日志服务LTS存储和查询审计事件

前提条件

请确保已开通云审计服务。具体操作，请参见开通云审计服务。

配置LTS转储

1. 登录云审计控制台。
2. 单击左侧导航树的“追踪器”，进入追踪器信息页面。
3. 在管理类追踪器(system)的右侧，单击操作下的“配置”。
   图1 追踪器配置
   

4. 设置追踪器的基本信息，单击“下一步”。

   参数名称	说明	本实践要求
   追踪器名称	默认为system，不可修改。	system
   企业项目	如果您的账号开通了企业项目管理功能，则需要在此处选择一个企业项目。 说明： 企业项目是一种云资源管理方式，由企业项目管理服务提供将云资源统一按项目管理、项目内的资源管理或成员管理。 开启企业项目的具体操作请参考创建企业项目。	default
   排除KMS事件	默认不勾选。勾选后，追踪器将不会转储用户对数据加密服务（DEW）的相关操作。 说明： 数据加密服务（DEW）的相关审计操作请参考数据加密服务相关的操作事件。	不勾选

5. 在配置转储页面，打开“转储到LTS”开关，系统会自动在LTS创建日志组：CTS，日志流：system-trace，操作事件将转储到日志流中。
   图2 开启转储到LTS功能
   

6. 单击“下一步 > 配置”，完成配置system追踪器。追踪器配置成功后，您可以在追踪器信息页面查看配置的追踪器的详细信息。

在云日志服务LTS查询审计事件

1. 在追踪器页面，单击system追踪器右侧的LTS日志流名称，进入到system-trace日志流详情页面。
   图3 单击日志流名称
   
   图4 system-trace日志流页面
   

2. 单击右上角的“15分钟(相对)”，设置查询的时间范围。
3. 在搜索框中输入trace_name : createServer，单击查询，查询创建云服务器的事件详情。
   图5 搜索createServer事件