查看云审计日志
操作场景
开启了云审计服务(CTS)后,系统开始记录SWR相关的操作。CTS会保存最近1周的操作记录。
本小节介绍如何在CTS管理控制台查看最近1周的操作记录。
约束与限制
默认只上报操作类的以及部分查询类的事件到云审计,如果需要上报全部的查询类事件到云审计请参考配置特定云服务的查询类事件上报到云审计进行配置。
跨租户访问资源的审计日志,会同时产生2条日志,资源访问者会产生一条审计日志,资源所属者会产生一条审计日志。
在CTS事件列表查看云审计事件
云审计服务能够为您提供云服务资源的操作记录,记录的信息包括发起操作的用户身份、IP地址、具体的操作内容的信息,以及操作返回的响应信息。根据这些操作记录,您可以很方便地实现安全审计、问题跟踪、资源定位,帮助您更好地规划和利用已有资源、甄别违规或高危操作。
本节介绍如何在云审计服务控制台查看或导出最近7天的操作记录。
- 登录CTS控制台。
- 单击左侧导航栏的“事件列表”,进入事件列表信息页面。
- 在列表上方,可以通过筛选时间范围,查询最近1小时、最近1天、最近1周的操作事件,也可以自定义最近7天内任意时间段的操作事件。
- 事件列表支持通过高级搜索来查询对应的操作事件,您可以在筛选器组合一个或多个筛选条件。
表1 事件筛选参数说明 参数名称
说明
是否只读
下拉选项包含“是”、“否”,只可选择其中一项。
- 是:筛选只读操作事件,例如查询资源操作。当用户在“配置中心”页面开启了只读事件上报后,并触发了只读事件,才支持选择该选项。
- 否:筛选非只读操作事件,例如创建资源操作、修改资源操作、删除资源操作。
事件名称
操作事件的名称。
输入的值区分大小写,需全字符匹配,不支持模糊匹配模式。
各个云服务支持审计的操作事件的名称请参见支持审计的服务及详细操作列表。
示例:updateAlarm
云服务
云服务的名称缩写。
输入的值区分大小写,需全字符匹配,不支持模糊匹配模式。
示例:IAM
资源名称
操作事件涉及的云资源名称。
输入的值区分大小写,需全字符匹配,不支持模糊匹配模式。
当该事件所涉及的云资源无资源名称或对应的API接口操作不涉及资源名称参数时,该字段为空。
示例:ecs-name
资源ID
操作事件涉及的云资源ID。
输入的值区分大小写,需全字符匹配,不支持模糊匹配模式。
当该资源类型无资源ID或资源创建失败时,该字段为空。
示例:{虚拟机ID}
事件ID
操作事件日志上报到CTS后,查看事件中的trace_id参数值。
输入的值需全字符匹配,不支持模糊匹配模式。
示例:01d18a1b-56ee-11f0-ac81-******1e229
资源类型
操作事件涉及的资源类型。
输入的值区分大小写,需全字符匹配,不支持模糊匹配模式。
各个云服务的资源类型请参见支持审计的服务及详细操作列表。
示例:user
操作用户
触发事件的操作用户。
下拉选项中选择一个或多个操作用户。
查看事件中的trace_type的值为“SystemAction”时,表示本次操作由服务内部触发,该条事件对应的操作用户可能为空。
IAM身份与操作用户对应关系,以及操作用户名称的格式说明,请参见IAM身份与操作用户对应关系。
事件级别
下拉选项包含“normal”、“warning”、“incident”,只可选择其中一项。
- normal代表操作成功。
- warning代表操作失败。
- incident代表比操作失败更严重的情况,如引起其他故障等。
企业项目ID
资源所在的企业项目ID。
查看企业项目ID的方式:在EPS服务控制台的“项目管理”页面,可以查看企业项目ID。
示例:b305ea24-c930-4922-b4b9-******1eb2
访问密钥ID
访问密钥ID,包含临时访问凭证和永久访问密钥。
查看访问密钥ID的方式:在控制台右上方,用户名下拉选项中,选择“我的凭证 > 访问密钥”,可以查看访问密钥ID。
示例:HSTAB47V9V*******TLN9
- 在事件列表页面,您还可以导出操作记录文件、刷新列表、设置列表展示信息等。
- 在搜索框中输入任意关键字,按下Enter键,可以在事件列表搜索符合条件的数据。
- 单击“导出”按钮,云审计服务会将查询结果以.xlsx格式的表格文件导出,该.xlsx文件包含了本次查询结果的所有事件,且最多导出5000条信息。
- 单击
按钮,可以获取到事件操作记录的最新信息。 - 单击
按钮,可以自定义事件列表的展示信息。启用表格内容折行开关
,可让表格内容自动折行,禁用此功能将会截断文本,默认停用此开关。
