更新时间:2024-03-28 GMT+08:00

查看审计日志

操作场景

用户进入云审计服务创建管理类追踪器后,系统开始记录云服务资源的操作。在创建数据类追踪器后,系统开始记录用户对OBS桶中数据的操作。云审计服务管理控制台会保存最近7天的操作记录。

本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录:

使用限制

  • 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看,或者到组织追踪器配置的OBS桶中查看,也可以到组织追踪器配置的CTS/system日志流下面去查看。
  • 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录,您必须配置转储到对象存储服务(OBS),才可在OBS桶里面查看历史文件。否则,您将无法追溯7天以前的操作记录。
  • 云上操作后,1分钟内可以通过云审计控制台查询管理类事件操作记录,5分钟后才可通过云审计控制台查询数据类事件操作记录。

在新版事件列表查看审计事件

  1. 登录管理控制台。
  2. 单击左上角,选择“管理与监管 > 云审计服务 CTS”,进入云审计服务页面。
  3. 单击左侧导航树的“事件列表”,进入事件列表信息页面。
  4. 事件列表支持通过高级搜索来查询对应的操作事件,您可以在筛选器组合一个或多个筛选条件:

    • 事件名称:输入事件的名称。
    • 事件ID:输入事件ID
    • 资源名称:输入资源的名称,当该事件所涉及的云资源无资源名称或对应的API接口操作不涉及资源名称参数时,该字段为空。
    • 资源ID:输入资源ID,当该资源类型无资源ID或资源创建失败时,该字段为空。
    • 云服务:在下拉框中选择对应的云服务名称。
    • 资源类型:在下拉框中选择对应的资源类型。
    • 操作用户:在下拉框中选择一个或多个具体的操作用户。
    • 事件级别:可选项为“normal”、“warning”、“incident”,只可选择其中一项。
      • normal:表示操作成功。
      • warning:表示操作失败。
      • incident:表示比操作失败更严重的情况,例如引起其他故障等。
    • 时间范围:可选择查询最近1小时、最近1天、最近1周的操作事件,也可以自定义最近1周内任意时间段的操作事件。

  5. 在事件列表页面,您还可以导出操作记录文件、刷新列表、设置列表展示信息等。

    1. 在搜索框中输入任意关键字,单击按钮,可以在事件列表搜索符合条件的数据。
    2. 单击“导出”按钮,云审计服务会将查询结果以.xlsx格式的表格文件导出,该.xlsx文件包含了本次查询结果的所有事件,且最多导出5000条信息。
    3. 单击按钮,可以获取到事件操作记录的最新信息。
    4. 单击按钮,可以自定义事件列表的展示信息。启用表格内容折行开关,可让表格内容自动折行,禁用此功能将会截断文本,默认停用此开关。

  6. 关于事件结构的关键字段详解,请参见事件结构事件样例
  7. (可选)在新版事件列表页面,单击右上方的“返回旧版”按钮,可切换至旧版事件列表页面。

在旧版事件列表查看审计事件

  1. 登录管理控制台。
  2. 单击左上角,选择“管理与监管 > 云审计服务 CTS”,进入云审计服务页面。
  3. 单击左侧导航树的“事件列表”,进入事件列表信息页面。
  4. 用户每次登录云审计控制台时,控制台默认显示新版事件列表,单击页面右上方的“返回旧版”按钮,切换至旧版事件列表页面。
  5. 事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询,详细信息如下:

    • 事件类型、事件来源、资源类型和筛选类型,在下拉框中选择查询条件。
      • 筛选类型按资源ID筛选时,还需手动输入某个具体的资源ID。
      • 筛选类型按事件名称筛选时,还需选择某个具体的事件名称。
      • 筛选类型按资源名称筛选时,还需选择或手动输入某个具体的资源名称。
    • 操作用户:在下拉框中选择某一具体的操作用户,此操作用户指用户级别,而非租户级别。
    • 事件级别:可选项为“所有事件级别”、“Normal”、“Warning”、“Incident”,只可选择其中一项。
    • 时间范围:可选择查询最近7天内任意时间段的操作事件。
    • 单击“导出”按钮,云审计服务会将查询结果以CSV格式的表格文件导出,该CSV文件包含了本次查询结果的所有事件,且最多导出5000条信息。

  6. 选择完查询条件后,单击“查询”。
  7. 在事件列表页面,您还可以导出操作记录文件和刷新列表。

    • 单击“导出”按钮,云审计服务会将查询结果以CSV格式的表格文件导出,该CSV文件包含了本次查询结果的所有事件,且最多导出5000条信息。
    • 单击按钮,可以获取到事件操作记录的最新信息。

  8. 在需要查看的事件左侧,单击展开该记录的详细信息。

  9. 在需要查看的记录右侧,单击“查看事件”,会弹出一个窗口显示该操作事件结构的详细信息。

  10. 关于事件结构的关键字段详解,请参见事件结构事件样例
  11. (可选)在旧版事件列表页面,单击右上方的“体验新版”按钮,可切换至新版事件列表页面。

云审计服务支持的IoTDA操作列表

用户在使用物联网平台IoTDA的过程中,通过云审计服务,可查看用户及平台的操作及结果,当某项功能发生异常时,用户可以根据日志的记录信息定位并处理故障信息。目前支持查看以下IoTDA的操作记录:

表1 云审计服务支持的IoTDA操作列表

功能类别

操作名称

资源类型

事件名称

联动规则管理

创建规则

rules

createRules

删除规则

rules

deleteRules

更新规则

rules

updateRules

修改规则状态

rules

changeRuleStatus

JS脚本管理

上传js插件脚本

scripts

createScript

删除js插件脚本

scripts

deleteScript

调试js插件脚本

scripts

runScript

Function插件管理

function插件上传

functions

createProductFunctions

function插件删除

functions

deleteProductFunctions

function插件下载

functions

getProductFunctions

批量任务管理

创建批量任务

batchtasks

createBatchtasks

批量任务重试

batchtasks

retryBatchtasks

批量任务停止

batchtasks

stopBatchtasks

删除批量任务

batchtasks

deleteBatchtasks

批量任务文件管理

上传批量任务文件

batchtask-files

uploadBatchTaskFile

删除批量任务文件

batchtask-files

deleteBatchTaskFile

导出任务

创建导出任务

export-tasks

createExportTasks

删除导出任务

export-tasks

deleteExportTask

下载导出文件

export-tasks

createTaskreport

应用侧证书管理

上传推送CA证书

Certificate

createCertificate

更新推送CA证书

Certificate

updateCertificate

删除推送CA证书

Certificate

deleteCertificate

证书管理

上传设备CA证书

certificate

addCertificate

删除设备CA证书

certificate

deleteCertificate

调试设备CA证书

certificate

debugCertificate

验证设备CA证书

certificate

verifyCertificate

下载设备CA证书

certificate

downloadCertificate

服务端证书管理

企业版创建证书

ServerCertificate

addServerCertificate

企业版替换证书

ServerCertificate

updateServerCertificate

企业版删除证书

ServerCertificate

deleteServerCertificate

资源空间管理

创建资源空间

application

addApplication

删除资源空间

application

deleteApplication

修改资源空间

application

updateApplication

接入码管理

创建接入码

accessCode

createAccessCode

校验接入码

accessCode

verifyAccessCode

软固件升级包管理

创建OTA升级包

upgradeTask

uploadOtaPackages

删除OTA升级包

upgradeTask

deleteOtaPackages

文件存储管理

配置文件上传obs桶

upgradeTask

createBucket

流转规则管理

创建规则触发条件

routing-rule

addRule

修改规则触发条件

routing-rule

modifyRule

删除规则触发条件

routing-rule

deleteRule

测试sql连通性

rule-sql

checkSql

流转规则动作管理

创建规则动作

rule-action

addAction

修改规则动作

rule-action

modifyAction

删除规则动作

rule-action

deleteAction

测试连通性接口

rule-action

sendMessage

外出流控策略管理

创建外出流控策略

create-flow-control-policy

createRoutingFlowControlPolicy

更新外出流控策略

update-flow-control-policy

updateRoutingFlowControlPolicy

删除外出流控策略

delete-flow-control-policy

deleteRoutingFlowControlPolicy

外出推送积压策略管理

创建外出推送积压策略

create-routing-backlog-policy

createRoutingBacklogPolicy

修改外出推送积压策略

update-routing-backlog-policy

updateRoutingBacklogPolicy

删除外出推送积压策略

delete-routing-backlog-policy

deleteRoutingBacklogPolicy

设备影子

配置设备影子预期数据

deviceShadow

updateDeviceShadow

插件映射管理

修改映射关系

plugin

addMapping

插件消息管理

修改消息信息

plugin

addMessage

插件管理

部署在线插件

plugin

deployPlugin

保存插件信息

plugin

savePluginMessage

更新插件信息

plugin

modifyPluginMessage

部署离线插件

plugin

bundlePackages

模拟器管理

注册调试设备模拟器

plugin

registerEmulatedDevice

设备调试消息

上行发送码流

plugin

simulateReport

隧道管理

创建隧道

tunnels

createTunnel

删除隧道

tunnels

deleteTunnel

修改隧道

tunnels

updateTunnel

产品管理

创建产品

product

addProduct

修改产品

product

updateProduct

删除产品

product

deleteProduct

自定义Topic管理

修改产品自定义topic

topic

updateTopic

删除产品自定义topic

topic

deleteTopic

创建产品自定义topic

topic

addTopic

安全异常检测配置

安全异常检测配置

productConfig

addProductConfig

AMQP队列管理

创建AMQP队列

amqp

addQueue

删除AMQP队列

amqp

deleteQueue

中止receive-link消费能力

amqp

hangUpConnection

云云对接配置管理

创建云云对接配置

service-integration

addServiceIntegrationConfig

删除云云对接配置

service-integration

deleteServiceIntegrationConfig

修改云云对接配置

service-integration

modifyServiceIntegrationConfig

群组管理

添加设备组

device-group

addDeviceGroup

修改设备组

device-group

updateDeviceGroup

删除设备组

device-group

deleteDeviceGroup

管理设备组中的设备

device-group

manageDevicesInGroup

设备标签管理

绑定标签

tag

bindTagsToResource

解绑标签

tag

unbindTagsToResource

设备管理

创建设备

device

addDevice

修改设备

device

updateDevice

删除设备

device

deleteDevice

重置设备密钥

device

resetDeviceSecret

冻结设备

device

freeze-device

解冻设备

device

unfreeze-device

鸿蒙软总线

创建鸿蒙软总线

harmony-soft-bus

create-harmony-soft-bus

删除鸿蒙软总线

harmony-soft-bus

delete-harmony-soft-bus

重置鸿蒙软总线key

harmony-soft-bus

reset-harmony-soft-bus-key

同步鸿蒙软总线

harmony-soft-bus

sync-harmony-soft-bus

设备代理管理

删除设备代理

device-proxy

deleteDeviceProxy

创建设备代理

device-proxy

addDeviceProxy

修改设备代理

device-proxy

updateDeviceProxy

设备策略管理

创建设备策略

device-policy

addDevicePolicy

删除设备策略

device-policy

deleteDevicePolicy

更新设备策略

device-policy

updateDevicePolicy

绑定设备策略

device-policy

bindDevicePolicy

解绑设备策略

device-policy

unbindDevicePolicy

消息跟踪管理

修改消息跟踪配置

message-trace

updateMessageTraceConfig

删除消息跟踪配置

message-trace

deleteMessageTraceConfig

删除消息跟踪数据

message-trace

deleteMessageTraceData

设备运维配置管理

修改设备运维配置

device-config

updateDeviceConfig

设备命令管理

下发设备命令

command

sendCommand

下发异步设备命令

asyncCommand

sendAsyncCommand

远程登录

建立ssh通道

SshConnect

SshConnect

下发ssh命令

SshComand

SshComand

关闭ssh通道

SshDisconnect

SshDisconnect