通过CTS查询ELB的操作记录

应用场景

云审计服务能够为您提供云服务资源的操作记录，记录的信息包括发起操作的用户身份、IP地址、具体的操作内容的信息，以及操作返回的响应信息。根据这些操作记录，您可以很方便地实现安全审计、问题跟踪、资源定位，帮助您更好地规划和利用已有资源、甄别违规或高危操作。

用户开通云审计服务后，可记录ELB的操作事件用于审计。本实践将介绍云审计服务（CTS）记录中相关字段释义。

什么是事件

事件即云审计服务追踪并保存的云服务资源的操作日志，操作包括用户对云服务资源新增、修改、删除等操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。

什么是管理类追踪器和数据类追踪器

管理追踪器会自动识别并关联当前用户所使用的所有云服务，并将当前用户的所有操作记录在该追踪器中。管理追踪器记录的是管理类事件，即用户对云服务资源新建、修改、删除等操作事件。

数据追踪器会记录用户对OBS桶中的数据操作的详细信息。数据类追踪器记录的是数据类事件，即OBS服务上报的用户对OBS桶中数据的操作事件，例如上传数据、下载数据等。

在CTS新版事件列表查看创建ELB的审计事件

1. 根据业务需要创建独享型ELB实例，具体操作请参见购买独享型负载均衡器。
2. 登录CTS控制台。
3. 单击左侧导航栏的“事件列表”，进入事件列表信息页面。
4. 在列表上方，可以通过筛选时间范围，查询最近1小时、最近1天、最近1周的操作事件，也可以自定义最近7天内任意时间段的操作事件。
5. 事件列表支持通过高级搜索来查询对应的操作事件，您可以在筛选器组合一个或多个筛选条件，本实践选择“云服务：ELB”。

   表1 事件筛选参数说明

   参数名称	说明
   云服务	云服务的名称缩写，本实践选择云服务：ELB。 输入的值区分大小写，需全字符匹配，不支持模糊匹配模式。

   

6. 在事件列表页，可以看到存在1的事件记录。
   图1 ELB的事件记录
   
7. 单击事件名称，查看事件记录详情。
   图2 创建ELB事件详情
   
8. 在事件列表页面，您还可以导出操作记录文件、刷新列表、设置列表展示信息等。
   1. 在搜索框中输入任意关键字，按下Enter键，可以在事件列表搜索符合条件的数据。
   2. 单击“导出”按钮，云审计服务会将查询结果以.xlsx格式的表格文件导出，该.xlsx文件包含了本次查询结果的所有事件，且最多导出5000条信息。
   3. 单击按钮，可以获取到事件操作记录的最新信息。
   4. 单击按钮，可以自定义事件列表的展示信息。启用表格内容折行开关，可让表格内容自动折行，禁用此功能将会截断文本，默认停用此开关。
9. （可选）在新版事件列表页面，单击右上方的“返回旧版”按钮，可切换至旧版事件列表页面。

CTS记录的字段释义

相关文档

• ELB支持审计的关键操作
• 在CTS事件列表查看云审计事件