更新时间:2025-08-20 GMT+08:00
分享

查询云审计事件

操作场景

用户进入云审计服务创建管理类追踪器后,系统开始记录云服务资源的操作。在创建数据类追踪器后,系统开始记录用户对OBS桶中数据的操作。云审计服务管理控制台会保存最近7天的操作记录。

本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录。

操作视频

约束与限制

  • 管理类追踪器未开启组织功能之前,单账号跟踪的事件可以通过云审计控制台查询。管理类追踪器开启组织功能之后,多账号的事件只能在账号自己的事件列表页面去查看,或者到组织追踪器配置的OBS桶中查看,也可以到组织追踪器配置的CTS/system日志流下面去查看。组织追踪器的详细介绍请参见组织追踪器概述
  • 用户通过云审计控制台只能查询最近7天的操作记录,过期自动删除,不支持人工删除。如果需要查询超过7天的操作记录,您必须配置转储到对象存储服务(OBS)或云日志服务(LTS),才可在OBS桶或LTS日志组里面查看历史事件信息。否则,您将无法追溯7天以前的操作记录。
  • 用户对云服务资源做出创建、修改、删除等操作后,1分钟内可以通过云审计控制台查询管理类事件操作记录,5分钟后才可通过云审计控制台查询数据类事件操作记录。
  • CTS新版事件列表不显示数据类审计事件,您需要在旧版事件列表查看数据类审计事件。

在CTS新版事件列表查看审计事件

  1. 登录CTS控制台
  2. 单击左侧导航栏的“事件列表”,进入事件列表信息页面。
  3. 在列表上方,可以通过筛选时间范围,查询最近1小时、最近1天、最近1周的操作事件,也可以自定义最近7天内任意时间段的操作事件。
  4. 事件列表支持通过高级搜索来查询对应的操作事件,您可以在筛选器组合一个或多个筛选条件。

    表1 事件筛选参数说明

    参数名称

    说明

    事件名称

    操作事件的名称。

    输入的值区分大小写,需全字符匹配,不支持模糊匹配模式。

    各个云服务支持审计的操作事件的名称请参见支持审计的服务及详细操作列表

    示例:updateAlarm

    云服务

    云服务的名称缩写。

    输入的值区分大小写,需全字符匹配,不支持模糊匹配模式。

    示例:IAM

    资源名称

    操作事件涉及的云资源名称。

    输入的值区分大小写,需全字符匹配,不支持模糊匹配模式。

    当该事件所涉及的云资源无资源名称或对应的API接口操作不涉及资源名称参数时,该字段为空。

    示例:ecs-name

    资源ID

    操作事件涉及的云资源ID。

    输入的值区分大小写,需全字符匹配,不支持模糊匹配模式。

    当该资源类型无资源ID或资源创建失败时,该字段为空。

    示例:{虚拟机ID}

    事件ID

    操作事件日志上报到CTS后,查看事件中的trace_id参数值。

    输入的值需全字符匹配,不支持模糊匹配模式。

    示例:01d18a1b-56ee-11f0-ac81-******1e229

    资源类型

    操作事件涉及的资源类型。

    输入的值区分大小写,需全字符匹配,不支持模糊匹配模式。

    各个云服务的资源类型请参见支持审计的服务及详细操作列表

    示例:user

    操作用户

    触发事件的操作用户。

    下拉选项中选择一个或多个操作用户。

    查看事件中的trace_type的值为“SystemAction”时,表示本次操作由服务内部触发,该条事件对应的操作用户可能为空。

    IAM身份与操作用户对应关系,以及操作用户名称的格式说明,请参见IAM身份与操作用户对应关系

    事件级别

    下拉选项包含“normal”、“warning”、“incident”,只可选择其中一项。

    • normal代表操作成功。
    • warning代表操作失败。
    • incident代表比操作失败更严重的情况,如引起其他故障等。

    企业项目ID

    资源所在的企业项目ID。

    查看企业项目ID的方式:在EPS服务控制台的“项目管理”页面,可以查看企业项目ID。

    示例:b305ea24-c930-4922-b4b9-******1eb2

    访问密钥ID

    访问密钥ID,包含临时访问凭证和永久访问密钥。

    查看访问密钥ID的方式:在控制台右上方,用户名下拉选项中,选择“我的凭证 > 访问密钥”,可以查看访问密钥ID。

    示例:HSTAB47V9V*******TLN9

  5. 在事件列表页面,您还可以导出操作记录文件、刷新列表、设置列表展示信息等。

    • 在搜索框中输入任意关键字,按下Enter键,可以在事件列表搜索符合条件的数据。
    • 单击“导出”按钮,云审计服务会将查询结果以.xlsx格式的表格文件导出,该.xlsx文件包含了本次查询结果的所有事件,且最多导出5000条信息。
    • 单击按钮,可以获取到事件操作记录的最新信息。
    • 单击按钮,可以自定义事件列表的展示信息。启用表格内容折行开关,可让表格内容自动折行,禁用此功能将会截断文本,默认停用此开关。

  6. (可选)在新版事件列表页面,单击右上方的“返回旧版”按钮,可切换至旧版事件列表页面。

在CTS旧版事件列表查看审计事件

  1. 登录CTS控制台
  2. 单击左侧导航栏的“事件列表”,进入事件列表信息页面。
  3. 用户每次登录云审计控制台时,控制台默认显示新版事件列表,单击页面右上方的“返回旧版”按钮,切换至旧版事件列表页面。
  4. 在页面右上方,可以通过筛选时间范围,查询最近1小时、最近1天、最近1周的操作事件,也可以自定义最近7天内任意时间段的操作事件。
  5. 事件列表支持通过筛选来查询对应的操作事件。

    表2 事件筛选参数说明

    参数名称

    说明

    事件类型

    事件类型分为“管理事件”和“数据事件”。

    • 管理类事件,即用户对云服务资源新建、修改、删除等操作事件。
    • 数据类事件,即OBS服务上报的OBS桶中的数据的操作事件,例如上传数据、下载数据等。

    云服务

    在下拉选项中,选择触发操作事件的云服务名称。

    资源类型

    在下来选项中,选择操作事件涉及的资源类型。

    各个云服务的资源类型请参见支持审计的服务及详细操作列表

    操作用户

    触发事件的操作用户。

    下拉选项中选择一个或多个操作用户。

    查看事件中的trace_type的值为“SystemAction”时,表示本次操作由服务内部触发,该条事件对应的操作用户可能为空。

    IAM身份与操作用户对应关系,以及操作用户名称的格式说明,请参见IAM身份与操作用户对应关系

    事件级别

    可选项包含“所有事件级别”、“Normal”、“Warning”、“Incident”,只可选择其中一项。

    • Normal代表操作成功。
    • Warning代表操作失败。
    • Incident代表比操作失败更严重的情况,如引起其他故障等。

  6. 选择完查询条件后,单击“查询”。
  7. 在事件列表页面,您还可以导出操作记录文件和刷新列表。

    • 单击“导出”按钮,云审计服务会将查询结果以CSV格式的表格文件导出,该CSV文件包含了本次查询结果的所有事件,且最多导出5000条信息。
    • 单击按钮,可以获取到事件操作记录的最新信息。

  8. 在事件的“是否篡改”列中,您可以查看该事件是否被篡改:

    • 上报的审计日志没有被篡改,显示“否”;
    • 上报的审计日志被篡改,显示“是”。

  9. 在需要查看的事件左侧,单击展开该记录的详细信息。

  10. 在需要查看的记录右侧,单击“查看事件”,会弹出一个窗口显示该操作事件结构的详细信息。

  11. (可选)在旧版事件列表页面,单击右上方的“体验新版”按钮,可切换至新版事件列表页面。

相关文档