开启事件高级查询并配置字段索引

场景描述

云审计服务记录了用户对云服务资源新建、修改、删除等操作的详细信息，云审计控制台事件列表中会保存最近7天的操作记录。如果需要将操作记录保存7天以上，则需要开启高级查询功能，开启高级查询功能后，审计日志会转储到云日志服务（LTS），云审计服务会定期将操作记录同步保存到LTS日志流中。

高级查询功能还会为您提供强化的操作事件搜索能力，支持更多查询条件及日志服务查询语法，同时为您提供专业角度的日志解读能力，助您轻松定位、分析系统问题。

约束与限制

• 开启高级查询功能后，审计日志会转储到LTS，这会产生额外费用，您需要确保账户有足够金额。关于LTS服务的价格，请参见云日志服务价格详情。
• 开启高级查询功能后，系统会自动在LTS创建日志组和日志流。日志组名称默认为“CTS”，不支持修改。日志流的名称默认为“system-trace”。日志流的默认存储时间为7天，您可以在LTS修改日志流存储时间，详细操作请参见管理日志流。
• 在LTS服对日志流进行索引配置修改后，对新写入的日志数据生效，对历史日志数据不会生效。

前提条件

已开通云审计服务。具体操作，请参见开通云审计服务。

开启事件高级查询

1. 登录CTS控制台。
2. 单击左侧导航栏的“高级查询”。
3. 若您之前对管理类追踪器配置了“转储到LTS”，则跳过这一步骤。

   单击“一键开通”，然后单击“确认开通”后，系统会自动在LTS创建日志组和日志流，您可以在云审计控制台的高级查询界面查看、搜索转储到LTS中的审计日志。

4. （可选）若您需要对日志进行更多的操作，例如创建告警规则通知，您可以单击页面上方的“云日志服务 LTS”，前往LTS控制台使用更多功能。

配置云端结构化解析和字段索引

您需要先配置云端结构化解析，再配置字段索引。

配置云端结构化解析

1. 在高级查询页面，单击页面上方的“云日志服务 LTS”，前往LTS控制台。
2. 在“system-trace”日志流页面，单击按钮，进入日志流设置页面。

   

3. 选择“云端结构化解析”页签。
4. 选择“结构化模板”，再选择“系统模板”，在系统模板中选择“CTS”，单击“保存”。

   

配置字段索引

1. 在日志流设置页面，选择“索引配置”页签。
2. 单击“字段索引”下方的“自动配置”。系统会自动添加日志结构化中提取的字段，对日志数据进行统计与分析。若您需要新增字段索引，可以单击“添加字段”手动添加字段，详细说明请参见创建LTS日志索引。

   

3. 单击“确定”。索引配置成功后，对新写入的日志数据生效，对历史日志数据不会生效。

   您可以在CTS控制台的高级查询页面，根据特定的字段来快速查询事件。

相关文档

• 您可以使用高级查询功能，快速查询AccessKey相关事件和查询华为云账号相关事件。
• LTS服务的日志搜索和日志分析功能的详细说明，请参见日志搜索与分析概述。
• LTS服务的日志告警功能的详细说明，请参见日志告警概述。
• 您可以在高级查询中使用SQL语法，查询或分析转储到LTS的审计日志。SQL语法的详细说明，请参见SQL分析语法介绍。