配置追踪器

操作场景

云审计服务管理控制台支持配置已开启的追踪器的OBS桶、LTS转储和配置已创建的追踪器关键事件操作通知。

• 用户可选择已存在的OBS桶。云审计服务会自动为该OBS桶挂载转储所需的桶策略。
• 当配置云审计服务的追踪器中的“事件文件前缀”时，不影响对应OBS桶的策略。

OBS桶有标准存储、低频访问存储和归档存储三种类型。由于云审计服务需要高频次的访问转储的OBS桶，因此必须使用标准存储类型的OBS桶。

配置追踪器完成后，系统立即以新的规则开始记录操作。

本节介绍如何配置数据类事件追踪器。

前提条件

已开通云审计服务，且已创建一个数据类事件追踪器。

操作步骤

1. 登录管理控制台。
2. 在管理控制台左上角单击图标，选择区域和项目。
3. 单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务详情页面。
4. 单击左侧导航树的“追踪器”，进入追踪器信息页面。
5. 在数据类追踪器信息右侧，单击操作下的“配置”。
6. 配置数据类追踪器时，数据事件来源的“OBS桶名称”默认为当前OBS桶名称，不可以修改。在配置转储页面可以修改该追踪器的转储信息，具体参数说明参见表1。

   表1 配置转储参数列表

   参数名称	参数说明
   转储到OBS	当“转储到OBS”开关打开时，您可以选择已存在的OBS桶，并配置事件文件前缀。 如果“转储到OBS”开关关闭时，则无需配置相应参数。
   选择OBS	新建OBS桶：在您填写一个桶名后系统将自动为您创建一个OBS桶。 选择已有OBS桶：需要您选择一个已有的OBS桶。
   OBS桶名称	当“选择OBS”选择“新建OBS桶”时，直接新建OBS桶名称。OBS桶名称不能为空，仅支持小写字母、数字、“-”和“.”，且长度范围为3-63个字符。禁止两个“.”相邻（如"my..bucket"），禁止"."和"-"相邻（如"my-.bucket"和"my.-bucket"），禁止使用ip为桶名称。 当“选择OBS”选择“选择已有OBS桶”时，可以选择已存在的OBS桶。
   保存周期	转储至OBS桶中日志的保存周期。该配置会修改被选择桶的桶策略，影响范围为桶内的所有文件。不同类型、不同级别的合规认证标准对审计日志的保存时间有不同的要求，建议设置保存周期不低于180天。 数据类事件追踪器：保存周期支持设置为30天、60天、90天、180天、三年和沿用OBS配置。
   事件文件名前缀	用于标识被转储的事件文件，该字段支持用户自定义，会自动添加在转储事件文件的文件名前端，方便用户快速进行筛选。事件文件名前缀只能有英文字母、数字、下划线、中划线和小数点组成，且长度范围为0-64个字符。
   转储到LTS	当“转储到LTS”开关打开时，表示操作事件将转储到日志流中。
   日志组名称	当“转储到LTS”开关打开时，日志组名称默认为“CTS”。如果“转储到LTS”开关关闭时，则无需配置该参数。

7. 单击“下一步 > 配置”，完成配置数据类事件追踪器。

   追踪器配置成功后，您可以在追踪器信息页面查看配置的追踪器的详细信息。

   

   因为CTS所存储的事件是周期性转储到OBS桶的，因此当您配置了追踪器所对应的OBS桶后，当前转储周期内（通常为数分钟）已收到事件会转储到配置后的OBS桶中。例如当前转储周期为12:00~12:05，用户在12:02分修改了当前追踪器对应的OBS桶，那么12:00~12:02分之间收到的事件会在12:05分时转储到新配置的OBS桶中。