查询云审计事件

更新时间：2024-12-27 GMT+08:00

查看PDF

操作场景

用户进入云审计服务创建管理类追踪器后，系统开始记录云服务资源的操作。云审计服务管理控制台会保存最近7天的操作记录。

说明：

云审计控制台对用户的操作事件日志保留7天，过期自动删除，不支持人工删除。

本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录。

查看审计事件

登录管理控制台。
单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务页面。
单击左侧导航树的“事件列表”，进入事件列表信息页面。
事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下：
- 事件类型、事件来源、资源类型和筛选类型，在下拉框中选择查询条件。
  - 筛选类型按资源ID筛选时，还需手动输入某个具体的资源ID。
  - 筛选类型按事件名称筛选时，还需选择某个具体的事件名称。
  - 筛选类型按资源名称筛选时，还需选择或手动输入某个具体的资源名称。
- 操作用户：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。
- 事件级别：可选项为“所有事件级别”、“Normal”、“Warning”、“Incident”，只可选择其中一项。
- 时间范围：可选择查询最近1小时、最近1天、最近1周的操作事件，也可以自定义最近7天内任意时间段的操作事件。
选择完查询条件后，单击“查询”。
在事件列表页面，您还可以导出操作记录文件和刷新列表。
- 单击“导出”按钮，云审计服务会将查询结果以CSV格式的表格文件导出，该CSV文件包含了本次查询结果的所有事件，且最多导出5000条信息。
- 单击按钮，可以获取到事件操作记录的最新信息。
在需要查看的事件左侧，单击展开该记录的详细信息。
在需要查看的记录右侧，单击“查看事件”，会弹出一个窗口显示该操作事件结构的详细信息。
关于事件结构的关键字段详解，请参见《云审计服务用户指南》中的“云审计服务事件参考 > 事件结构”章节和“云审计服务事件参考 > 事件样例”章节。