配置特定云服务的查询类事件上报到云审计

场景描述

开通云审计服务后，用户可以在云审计控制台查看云服务上报的事件。事件即云审计服务追踪并保存的云服务资源的操作日志，操作包括用户对云服务资源新增、修改、删除、查询操作。

查询类操作的频率通常远高于增删改类操作，例如用户可能在一天内多次查询云服务器列表、监控指标或日志，但创建/删除服务器的操作可能仅几次。若大量记录查询类操作，会导致审计日志数据量过多，不利于用户查看审计日志，因此云审计服务默认关闭云服务的查询类事件上报到云审计。

若用户需要特定云服务上报查询类操作，可通过云审计配置中心来配置查询类事件上报规则，实现特定云服务的查询类操作上报到云审计。

什么是查询类事件

用户对云服务资源查询操作会上报为查询类事件。在云审计服务的事件详情中，read_only参数表示该事件是否为查询类事件：

• read_only的参数值为“true”时，表示该事件是查询类事件；
• read_only的参数值为“false”时，表示该事件不是查询类事件。

配置中心的云服务的含义

在配置中心页面，云服务表示的是对接了云审计的云服务上报的service_type参数值。

约束与限制

全局级服务需要在中心region（华北-北京四）的云审计控制台配置查询类事件上报规则。全局级服务在其他region的云审计控制台配置时不会生效。您可以在约束与限制中，查阅目前华为云的全局级服务信息。

前提条件

已开通云审计服务。具体操作，请参见开通云审计服务。

开启部分云服务的查询类事件上报到云审计

1. 登录CTS控制台。
2. 单击左侧导航栏的“配置中心”。
3. 在“开启只读事件的云服务”选项中，选择“部分开启”。
4. 单击云服务右侧的按钮后，该云服务的查询类事件会上报到云审计。
5. （可选）当您需要开启多个云服务的查询类事件上报到云审计时，您可以勾选多个云服务，单击“批量开启”后，选中的云服务的查询类事件都会上报到云审计。
   图1 批量开启
   

开启全部云服务的查询类事件上报到云审计

1. 登录CTS控制台。
2. 单击左侧导航栏的“配置中心”。
3. 在“开启只读事件的云服务”选项中，选择“全部开启”。
4. 单击“确认”后，全部云服务的查询类事件会上报到云审计。