查询云审计服务转储事件
操作场景
云审计服务会定时将跟踪到的事件以事件文件的形式按周期保存至OBS桶。事件文件是按照服务、转储周期两个维度生成的事件集,系统会根据当前负载情况调整每个事件文件包含的事件数。云审计服务还支持将审计日志保存到LTS日志流中。
本节介绍如何在OBS中通过下载事件文件查看已保存至OBS桶的历史操作记录,以及如何在LTS日志流中查看事件记录。
使用限制
全局级服务需要在中心region(北京四)的云审计控制台配置追踪器,才能使用审计事件转储至OBS/LTS功能。全局级服务在其他region的云审计控制台配置时,上述功能不会生效。
您可以在约束与限制中,查阅目前华为云的全局级服务信息。
前提条件
已在云审计服务中成功配置追踪器,且打开OBS转储开关或LTS转储开关。配置转储的方法请参见配置追踪器。
查询OBS中转储事件
配置追踪器时,若打开“转储到OBS”开关,操作事件将以事件文件的形式按周期保存至OBS桶。
- 登录管理控制台。
- 单击左上角,选择“管理与监管 >云审计服务 CTS”,进入云审计服务页面。
- 单击左侧导航树的“追踪器”,进入追踪器信息页面。
- 单击“存储服务”下的指定的OBS桶名称,页面跳转到OBS管理控制台上对应OBS桶的对象管理界面。
图1 选择OBS
- 在OBS桶中,按照事件文件存储路径选择需要查看的历史事件,然后单击右侧的“下载”,文件将下载到浏览器默认下载路径。如需将事件文件保存到自定义路径下,请单击右侧的“更多 > 下载为”按键。
- 事件文件存储路径:
OBS桶名>CloudTraces>地区标示>时间标示:年>时间标示:月>时间标示:日>追踪器名称 >服务类型目录
例如:User Define>CloudTraces>region>2016>5>19>system>ECS
- 事件文件命名格式:
操作事件文件前缀_CloudTrace_区域标示/区域标示-项目标示_日志文件上传至OBS的时间标示:年-月-日T时-分-秒Z_系统随机生成字符.json.gz
例如:FilePrefix_CloudTrace_region-project_2016-05-30T16-20-56Z_21d36ced8c8af71e.json.gz
- OBS桶名和事件前缀为用户设置,其余参数均为系统自动生成。
- 下载将产生请求费用和流量费用。
- 用户在配置追踪器转储至OBS时,关闭“路径按云服务划分”开关后,转储文件路径中不会显示“服务类型目录”。例如:User Define>CloudTraces>region>2016>5>19>system。
关于云审计服务事件结构的关键字段详解,请参见事件结构和事件样例。
图2 查看事件文件内容
- 事件文件存储路径:
- 文件下载到本地后,通过解压可以得到与压缩包同名的json文件,下载解压后的json文件如图3所示,通过记事本等txt文档编辑软件即可查看到保存的追踪日志信息。
查询LTS中转储事件
配置追踪器时,若打开“转储到LTS”开关,操作事件将转储到“CTS/{Tracker Name}”日志流中。{Tracker Name}为当前追踪器的名称,例如管理类追踪器的日志流路径为“CTS/system-trace”。