文档首页/ 云审计服务 CTS/ 最佳实践/ 下载云审计服务记录的操作事件
更新时间:2025-01-06 GMT+08:00
查看PDF
分享

下载云审计服务记录的操作事件

云审计服务默认为每个华为云账号记录最近7天的操作事件,最近7天的操作事件仅支持通过云审计控制台查询,您可以在云审计控制台导出本次查询结果的所有事件。

如果您因为审计要求需要获取7天以上的操作事件,或者需要将事件下载到本地进行分析,则必须配置system追踪器转储事件至OBS或LTS,再通过OBS或LTS的数据下载能力将事件以文件形式下载到本地。

本章为您介绍如何在云审计服务(CTS)、对象存储服务(OBS)和云日志服务(LTS)中下载操作审计的事件。

  1. 在您没有配置转储前,云审计控制台对用户的操作事件日志保留7天,过期自动删除,在配置转储后也无法查看。
  2. 使用对象存储服务(OBS)文件存储功能,这会产生额外费用,以及在OBS桶中下载文件将产生请求费用和流量费用。OBS的计费详情请参考产品价格详情
  3. 使用云日志服务(LTS)日志存储功能,这会产生额外费用,LTS的计费详情请参考产品价格详情

在云审计服务CTS下载操作事件

  1. 登录云审计控制台
  2. 单击左侧导航栏的“事件列表”,进入事件列表页面。
  3. 单击页面上方的“最近1小时”,设置查询的时间范围。
  4. 单击“导出”按钮,选择“导出全部数据到XLSX”。云审计服务会将查询结果以.xlsx格式的表格文件导出,该.xlsx文件包含了本次查询结果的所有事件,且最多导出5000条信息。

在对象存储服务OBS下载操作事件

  1. 在云审计控制台,进入追踪器页面,system追踪器的“存储服务”一栏,会显示您在配置转储时设置的OBS桶(在本案例中,OBS桶的名称为“system-bucket-01”)。
  2. 单击OBS桶名称“system-bucket-01”,页面跳转到对象存储服务控制台上“system-bucket-01”桶的管理界面。

    图1 单击OBS桶名称

  3. 在“system-bucket-01”桶的管理界面左侧的导航栏,单击“对象”。
  4. 在对象页面,按照事件文件存储路径依次点开文件夹。

    事件文件存储路径格式:OBS桶名>CloudTraces>地区标示>时间标示:年>时间标示:月>时间标示:日>追踪器名称 >服务类型目录

    用户在配置追踪器转储至OBS时,关闭“路径按云服务划分”开关后,转储文件路径中不会显示“服务类型目录”。

  5. 您可以下载单个对象或批量下载对象。详细操作说明请参考下载对象

    • 下载单个对象:

      在您需要下载的对象右侧单击“下载”,文件将下载到浏览器默认下载路径。如需将事件文件保存到自定义路径下,请单击对象右侧的“更多 > 下载为”。

    • 批量下载对象:

      勾选您需要下载的多个对象,单击对象列表上方的“更多>下载”。

  6. 文件下载到本地后,通过解压可以得到与压缩包同名的json文件,通过记事本等txt文档编辑软件即可查看历史操作事件日志信息。

在云日志服务LTS下载操作事件

  1. 在云审计控制台,进入追踪器页面,system追踪器的“存储服务”一栏,会显示您在配置转储时设置的LTS日志流“CTS/system-trace”。
  2. 单击日志流名称“CTS/system-trace”,页面跳转到云日志服务控制台上“CTS/system-trace”日志流界面。

    图2 单击日志流名称

  3. 下载日志:单击页面右上方的图标,在弹出的下载日志页面中选择下载方式,下载日志文件到本地。详细操作说明请参考日志搜索的常用操作

相关文档