创建追踪器
操作场景
云审计服务支持创建数据类事件追踪器,用于记录数据操作日志。数据类追踪器用于记录数据事件,即针对租户对OBS桶中的数据的操作日志,例如上传、下载等。
在开通云审计服务时,系统已为您自动创建了一个管理事件追踪器,管理事件追踪器只能有一个,故后续您自行创建的追踪器均为数据类事件追踪器。
- CTS仅记录最近7天内的操作事件,您需要配置追踪器来保存更长时间的事件,否则将无法追溯7天前的操作事件。追踪器会将事件持续保存到您指定的LTS日志流或者OBS桶中。
操作视频
前提条件
已开通云审计服务。开通云审计服务具体操作请参见入门指引。
创建数据类事件追踪器
- 登录管理控制台。
- 在服务列表选择“管理与监管 > 云审计服务 CTS”,进入云审计服务页面。
- 在左侧导航栏选择“追踪器”,单击页面右上角的“创建追踪器”。
- 基本信息。新建“追踪器名称”,便于识别。单击“下一步”,基本信息填写成功。
- 追踪器名称只能包含大小写字母、数字、-和_,且必须由大小写字母或数字开头。
- 追踪器名称不能为空,且输入长度不能超过32个字符。
- 数据类追踪器名称不能为“system”或“system-trace”。
- 选择转储事件。填写相关参数,单击“下一步”。
表1 选择转储事件参数表 参数名称
参数说明
数据事件来源
数据事件的存储容器,当前为OBS桶。
OBS桶名称
在下拉列表中选择对应OBS桶。
事件操作类型
- 选择需要记录事件的数据操作。
- 目前支持“读操作”和“写操作”,且至少选择其中一种操作。
- 配置转储。填写相关参数,单击“下一步”。用户通过云审计控制台只能查询最近7天的操作记录,如果需要查询超过7天的操作记录,您必须配置转储到对象存储服务(OBS)或配置转储到云日志服务(LTS)。具体参数说明参见表2和表3。
表2 配置转储到OBS参数列表 参数名称
参数说明
转储到OBS
当“转储到OBS”开关打开时,您可以选择已存在的OBS桶或直接通过配置页面新建OBS桶,并配置事件文件前缀。
如果“转储到OBS”开关关闭时,则无需配置相应参数。
创建云服务委托
必选,勾选创建云服务委托后,用户在创建追踪器时,云审计服务将会自动创建一个云服务委托,委托授权您使用对象存储服务(OBS)。
选择OBS
新建OBS桶:在您填写一个桶名后系统将自动为您创建一个OBS桶。
说明:当前创建的OBS桶是一个单AZ标准存储的私有桶。如果需要其他额外配置,建议提前在OBS服务创建OBS桶,然后“选择已有OBS桶”。
选择已有OBS桶:选择当前区域已创建的OBS桶。
OBS桶名称
当“选择OBS”选择“新建OBS桶”时,直接新建OBS桶名称。OBS桶名称不能为空,仅支持小写字母、数字、“-”和“.”,且长度范围为3-63个字符。禁止两个“.”相邻(如“my..bucket”),禁止“.”和“-”相邻(如“my-.bucket”和“my.-bucket”),禁止使用ip为桶名称。
当“选择OBS”选择“选择已有OBS桶”时,可以选择已存在的OBS桶。
保存周期
转储至OBS桶中日志的保存周期。该配置会修改被选择桶的桶策略,影响范围为桶内的所有文件。不同类型、不同级别的合规认证标准对审计日志的保存时间有不同的要求,建议设置保存周期不低于180天。- 数据类事件追踪器:保存周期支持设置为30天、60天、90天、180天、三年和沿用OBS配置。
事件文件名前缀
用于标识被转储的事件文件,该字段支持用户自定义,会自动添加在转储事件文件的文件名前端,方便用户快速进行筛选。事件文件名前缀只能由英文字母、数字、下划线(_)、中划线(-)和小数点(.)组成,且长度范围为0-64个字符。
是否压缩
压缩后可以减少对象存储空间的使用量。- 不压缩:按照 *.json格式转储。
- gzip:按照*.json.gz格式转储。
路径按云服务划分
- “路径按云服务划分”开关打开后,转储文件路径中将增加云服务名,OBS同时出现多个小文件。例如:/CloutTrace/cn-north-7/2022/11/8/doctest/云服务/_XXX.json.gz
- “路径按云服务划分”开关关闭后,转储文件路径中不会增加云服务名。例如:/CloutTrace/cn-north-7/2022/11/8/doctest/_XXX.json.gz
日志转储路径
日志转储的路径,系统自动填写。
文件校验
可以检验转储至OBS桶的数据是否被篡改,保障事件文件的完整性。如何校验文件完整性可参考校验云审计事件文件完整性。
- 预览追踪器信息无误后,单击“创建”完成追踪器的创建。
- 单击“确定”完成追踪器的创建。