文档首页/ 云审计服务 CTS/ 用户指南/ 查询云审计事件/ 查询云审计服务转储事件
更新时间:2024-11-08 GMT+08:00

查询云审计服务转储事件

操作场景

云审计服务会定时将跟踪到的事件以事件文件的形式按周期保存至OBS桶。事件文件是按照服务、转储周期两个维度生成的事件集,系统会根据当前负载情况调整每个事件文件包含的事件数。云审计服务还支持将审计日志保存到LTS日志流中。

本节介绍如何在OBS中通过下载事件文件查看已保存至OBS桶的历史操作记录,以及如何在LTS日志流中查看事件记录。

使用限制

全局级服务需要在中心region(中国-香港)的云审计控制台配置追踪器,才能使用审计事件转储至OBS/LTS功能。全局级服务在其他region的云审计控制台配置时,上述功能不会生效。

您可以在约束与限制中,查阅目前华为云的全局级服务信息。

前提条件

已在云审计服务中成功配置追踪器,且打开OBS转储开关或LTS转储开关。配置转储的方法请参见配置追踪器

查询OBS中转储事件

配置追踪器时,若打开“转储到OBS”开关,操作事件将以事件文件的形式按周期保存至OBS桶。

  1. 登录管理控制台。
  2. 单击左上角,选择“管理与监管 >云审计服务 CTS”,进入云审计服务页面。
  3. 单击左侧导航树的“追踪器”,进入追踪器信息页面。
  4. 单击“存储服务”下的指定的OBS桶名称,页面跳转到OBS管理控制台上对应OBS桶的对象管理界面。
    图1 选择OBS

  5. 在OBS桶中,按照事件文件存储路径选择需要查看的历史事件,然后单击右侧的“下载”,文件将下载到浏览器默认下载路径。如需将事件文件保存到自定义路径下,请单击右侧的“更多 > 下载为”按键。
    • 事件文件存储路径:

      OBS桶名>CloudTraces>地区标示>时间标示:年>时间标示:月>时间标示:日>追踪器名称 >服务类型目录

      例如:User Define>CloudTraces>region>2016>5>19>system>ECS

    • 事件文件命名格式:

      操作事件文件前缀_CloudTrace_区域标示/区域标示-项目标示_日志文件上传至OBS的时间标示:年-月-日T时-分-秒Z_系统随机生成字符.json.gz

      例如:FilePrefix_CloudTrace_region-project_2016-05-30T16-20-56Z_21d36ced8c8af71e.json.gz

    OBS桶名和事件前缀为用户设置,其余参数均为系统自动生成。

    下载将产生请求费用和流量费用。

    关于云审计服务事件结构的关键字段详解,请参见事件结构事件样例

    图2 查看事件文件内容

  6. 文件下载到本地后,通过解压可以得到与压缩包同名的json文件,下载解压后的json文件如图3所示,通过记事本等txt文档编辑软件即可查看到保存的追踪日志信息。
    图3 下载解压后的json文件

查询LTS中转储事件

配置追踪器时,若打开“转储到LTS”开关,操作事件将转储到“CTS/{Tracker Name}”日志流中。{Tracker Name}为当前追踪器的名称,例如管理类追踪器的日志流路径为“CTS/system-trace”。

  1. 登录管理控制台
  2. 单击左上角,选择“管理与监管 > 云审计服务 CTS”,进入云审计服务控制台页面。
  3. 单击左侧导航树的“追踪器”,进入追踪器信息页面。
  4. 单击“存储服务”下的指定的LTS日志流名称,页面跳转到LTS管理控制台上对应LTS日志流界面。

    图4 选择LTS

  5. 在CTS日志流界面,选择“{Tracker Name}”日志流,查看事件日志。

    关于云审计服务事件结构的关键字段详解,请参见事件结构事件样例

  6. 单击按钮,可以下载日志文件到本地。

    LTS单次下载支持最大5,000条日志。若所选日志超过5000条,不可使用LTS本地下载功能,请选择OBS转储下载。