通过CTS跨账号收集组织内操作审计日志

应用场景

企业用户普遍采用多账号策略隔离云上不同的业务以及职能，但多账号场景下合规审计人员如何获取各个业务环境下发生的历史操作成为一个难题，侵入每个账号进行日志采集存在误操作风险而且效率极低。

本文主要介绍如何基于Organizations可信服务，配置多账号环境下，将组织内操作审计日志汇聚在日志存档账号内。

开启云审计可信服务

1. 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台。
2. 左侧菜单栏选择“可信服务”，找到云审计服务，单击“启用”，即可开启云审计可信服务。
3. 单击云审计服务右侧的“设置委托管理员”按钮并选中日志存档账号，为云审计服务设置委托管理员。

配置组织追踪器

1. 登录委托管理员账号（即日志存档账号）管理控制台，进入云审计服务控制台。
2. 在左侧导航栏选择“追踪器”，单击右上方的“开通云审计服务”按钮，系统会自动为您创建一个名为system的管理类事件追踪器，详情请参见开通云审计服务。
3. 在“追踪器”列表中，单击管理类事件追踪器右侧的“配置”按钮。
4. 进入配置追踪器基本信息页面，开启“应用到我的组织”开关，点击“下一步”。
5. 在配置转储页面，打开转储到OBS桶并选择日志存档账号内已创建的日志桶。
6. 单击“下一步 > 配置”，完成配置组织追踪器。