文档首页/ 视频点播 VOD/ 用户指南/ 查询审计事件/ 在CTS事件列表查看云审计事件
更新时间:2024-11-15 GMT+08:00
分享

在CTS事件列表查看云审计事件

操作场景

用户进入云审计服务创建管理类追踪器后,系统开始记录云服务资源的操作。在创建数据类追踪器后,系统开始记录用户对OBS桶中数据的操作。云审计服务管理控制台会保存最近7天的操作记录。

云审计控制台对用户的操作事件日志保留7天,过期自动删除,不支持人工删除。

本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录:

使用限制

  • 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看,或者到组织追踪器配置的OBS桶中查看,也可以到组织追踪器配置的CTS/system日志流下面去查看。
  • 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录,您必须配置转储到对象存储服务(OBS)或云日志服务(LTS),才可在OBS桶或LTS日志组里面查看历史事件信息。否则,您将无法追溯7天以前的操作记录。
  • 云上操作后,1分钟内可以通过云审计控制台查询管理类事件操作记录,5分钟后才可通过云审计控制台查询数据类事件操作记录。

在新版事件列表查看审计事件

  1. 登录管理控制台。
  2. 单击左上角,选择“管理与监管管理与部署 > 云审计服务 CTS”,进入云审计服务页面。
  3. 单击左侧导航树的“事件列表”,进入事件列表信息页面。
  4. 事件列表支持通过高级搜索来查询对应的操作事件,您可以在筛选器组合一个或多个筛选条件:
    • 事件名称:输入事件的名称。
    • 事件ID:输入事件ID。
    • 资源名称:输入资源的名称,当该事件所涉及的云资源无资源名称或对应的API接口操作不涉及资源名称参数时,该字段为空。
    • 资源ID:输入资源ID,当该资源类型无资源ID或资源创建失败时,该字段为空。
    • 云服务:在下拉框中选择对应的云服务名称。
    • 资源类型:在下拉框中选择对应的资源类型。
    • 操作用户:在下拉框中选择一个或多个具体的操作用户。
    • 事件级别:可选项为“normal”、“warning”、“incident”,只可选择其中一项。
      • normal:表示操作成功。
      • warning:表示操作失败。
      • incident:表示比操作失败更严重的情况,例如引起其他故障等。
    • 企业项目ID:输入企业项目ID。
    • 访问密钥ID:输入访问密钥ID(包含临时访问凭证和永久访问密钥)。
    • 时间范围:可选择查询最近1小时、最近1天、最近1周的操作事件,也可以自定义最近7天内任意时间段的操作事件。
  5. 在事件列表页面,您还可以导出操作记录文件、刷新列表、设置列表展示信息等。
    • 在搜索框中输入任意关键字,按下Enter键,可以在事件列表搜索符合条件的数据。
    • 单击“导出”按钮,云审计服务会将查询结果以.xlsx格式的表格文件导出,该.xlsx文件包含了本次查询结果的所有事件,且最多导出5000条信息。
    • 单击按钮,可以获取到事件操作记录的最新信息。
    • 单击按钮,可以自定义事件列表的展示信息。启用表格内容折行开关,可让表格内容自动折行,禁用此功能将会截断文本,默认停用此开关。
  6. 关于事件结构的关键字段详解,请参见事件结构“云审计服务事件参考 > 事件结构”章节和事件样例“云审计服务事件参考 > 事件样例”章节。
  7. (可选)在新版事件列表页面,单击右上方的“返回旧版”按钮,可切换至旧版事件列表页面。

在旧版事件列表查看审计事件

  1. 登录管理控制台。
  2. 单击左上角,选择“管理与监管管理与部署 > 云审计服务 CTS”,进入云审计服务页面。
  3. 单击左侧导航树的“事件列表”,进入事件列表信息页面。
  4. 用户每次登录云审计控制台时,控制台默认显示新版事件列表,单击页面右上方的“返回旧版”按钮,切换至旧版事件列表页面。
  5. 事件列表支持通过筛选来查询对应的操作事件,如图1所示。当前事件列表支持四个维度的组合查询,详细信息如下:
    图1 筛选框
    • 事件类型、事件来源、资源类型和筛选类型,在下拉框中选择查询条件。
      • 筛选类型按资源ID筛选时,还需手动输入某个具体的资源ID。
      • 筛选类型按事件名称筛选时,还需选择某个具体的事件名称。
      • 筛选类型按资源名称筛选时,还需选择或手动输入某个具体的资源名称。
    • 操作用户:在下拉框中选择某一具体的操作用户,此操作用户指用户级别,而非租户级别。
    • 事件级别:可选项为“所有事件级别”、“Normal”、“Warning”、“Incident”,只可选择其中一项。
    • 时间范围:可选择查询最近1小时、最近1天、最近1周的操作事件,也可以自定义最近7天内任意时间段的操作事件。
    • 单击“导出”按钮,云审计服务会将查询结果以CSV格式的表格文件导出,该CSV文件包含了本次查询结果的所有事件,且最多导出5000条信息。
  6. 选择完查询条件后,单击“查询”。
  7. 在事件列表页面,您还可以导出操作记录文件和刷新列表。
    • 单击“导出”按钮,云审计服务会将查询结果以CSV格式的表格文件导出,该CSV文件包含了本次查询结果的所有事件,且最多导出5000条信息。
    • 单击按钮,可以获取到事件操作记录的最新信息。
  8. 在需要查看的事件左侧,单击展开该记录的详细信息。

  9. 在需要查看的记录右侧,单击“查看事件”,会弹出一个窗口显示该操作事件结构的详细信息。

  10. 关于事件结构的关键字段详解,请参见《云审计服务用户指南》中的事件结构“云审计服务事件参考 > 事件结构”章节和事件样例“云审计服务事件参考 > 事件样例”章节。
  11. (可选)在旧版事件列表页面,单击右上方的“体验新版”按钮,可切换至新版事件列表页面。

相关文档