如何配置CTS审计日志存储180天？

问题描述

搜索回溯一些问题，需要审计日志存储180天，如何配置审计日志存储时间并进行搜索分析？

操作步骤

• 配置转储

  开通云审计日志后，系统会自动创建一个名为system的管理事件追踪器，并将当前租户的所有操作记录在该追踪器中。在追踪器中配置CTS转储到LTS，配置完成后会在LTS自动创建日志组日志流，日志流默认存储时间为30天，可以在LTS修改日志流存储时间为180天，即可实现CTS审计日志存储180天。

  1. 登录管理控制台。
     • 如果您是以主账号登录华为云，请直接执行3。
     • 如果您是以IAM用户登录华为云，请先联系管理员（主账号、admin用户组中的用户）对IAM用户授予以下权限，授权方法请参见给IAM用户授权。
       • CTS FullAccess
  2. 在管理控制台左上角单击图标，选择区域和项目。
  3. 单击左上角，选择“管理与监管 > 云审计服务 CTS”，进入云审计服务详情页面。
  4. 配置system追踪器，将审计日志接入LTS，单击操作列中的“配置”。
  5. 配置转储时，打开“转储到LTS”开关，系统会自动在LTS创建日志组：CTS，日志流：system-trace。
     图1 转储LTS
     
  6. 配置转储到LTS，修改LTS的日志流为180天存储，配置结构化规则为CTS。
     1. 单击左上角，选择“管理与监管 > 云日志服务 LTS”，进入云日志服务控制台页面。
     2. 在日志管理页面，单击5中创建的system-trace日志流对应操作列的“编辑”，打开“日志存储时间（天）”开关，修改日志流存储时间为180天。
        图2 编辑日志流
        
        图3 修改存储时间
        
     3. 在“日志接入 > 云审计 CTS”页面，选择日志组：CTS，日志流：system-trace。
        图4 选择日志流
        
     4. CTS配置已完成，跳到下一步“日志流配置”，完成CTS日志的结构化配置。
     5. 单击“提交”，即可完成接入LTS配置。
     6. 单击“查看日志流”，进入日志流详情页面。
        图5 日志流详情