一個租戶下可以開通多個追蹤器嗎？

目前，一個租戶系統僅支持開通一個追蹤器。

事件列表用于記錄哪些信息？

事件列表記錄了云賬戶中對云服務資源新建、修改、刪除等操作的詳細信息。事件列表不記錄查詢操作的相關信息。

事件列表中的信息可以刪除嗎？

不可以，根據SAC/TC及國際信息、數據安全管理部門發布的規范，審計日志必須保持客觀全面、準確，因此不提供刪除或修改功能。

事件文件可以存儲多長時間？

默認情況下，云審計服務管理控制臺可存儲最近7天內的事件文件，而對于已保存至OBS桶的歷史操作記錄，您可以無限期存儲這些事件文件。

如果用戶已開通云審計服務，但OBS桶未配置正確的策略，會出現什么情況？

云審計服務會根據既有的OBS存儲桶策略來傳送事件文件。如果錯誤地配置OBS存儲桶策略，那么云審計服務將無法傳送事件文件。

被刪除或有異常的OBS桶，管理控制臺界面會顯示相應的錯誤提示信息。用戶可選擇重新創建OBS桶或重新配置OBS桶的訪問權限，操作詳情請參見《對象存儲服務用戶指南》的“管理桶”章節。

云審計服務是否支持事件文件的關鍵字驗證？

支持。原則上進行關鍵字驗證時必須包含以下字段：time、service_type、resource_type、trace_name、trace_status、trace_type，其他字段由各服務自己定義。

啟用云審計服務是否會影響其他云服務資源的性能？

不會。啟用云審計服務不會影響其他云服務資源的性能。

為什么查看事件窗口中，有些事件的IP、code、request、response和message字段為空？

IP、code、request、response和message字段并非云審計服務規定的必備字段：

• IP：當trace type為SystemAction時，表示本次操作由服務內部觸發，此時缺失IP字段為正常情況。
• request/response/code：這三個字段是表示本次操作所對應的請求內容、請求結果及HTTP返回碼，在有些情況下，這些字段本身為空，或不具備業務意義，產生該事件的云服務會根據實際情況選擇某字段留空。
• message：該字段為預留字段，若其他云服務基于業務需要，需要增加額外信息時，可附加在該字段內，缺失為正常情況。

為什么事件列表中有些事件的為超鏈接可以跳轉，有些為非超鏈接？

目前CTS僅支持部分ECS、EVS、VBS、IMS、AS、CES和VPC的操作通過跳轉到對應云資源的詳情頁面，該功能正在逐步完善。

為什么事件列表中的某些操作被記錄了兩次？

對于異步調用事件，會產生兩條事件記錄，其事件名稱、資源類型、資源名稱等字段相同。在事件列表中，看起來是重復記錄了操作（例如，Workspace的deleteDesktop事件），但實際上，這兩條事件是相互關聯、但內容不同的兩條記錄，典型的異步調用場景時間如下：

• 第一條事件：記錄用戶發起的請求；
• 第二條事件：記錄用戶請求的操作結果，通常與第一條時間記錄有數分鐘的延遲，記錄用戶請求的實際響應結果。

兩條事件需要結合在一起，才能反映用戶本次操作的真實結果。

為什么在事件列表中按照操作用戶進行篩選時，存在user_account/op_service用戶？

當用戶發起的某些請求涉及后臺一些高權限要求的操作或涉及調用其他服務時，可能存在用戶自身的權限不足的問題，因此在確保符合安全要求的前提下，會臨時對該請求中的用戶身份進行提權，請求完成后提權結束，但會將提權行為記錄到該請求發送到CTS的日志當中，此時的操作用戶將記錄為user_account/op_service。

為什么有些trace_type為systemAction的事件，存在user、source_ip為空的情況？

trace_type字段的業務意義為標示請求來源，該字段可以是控制臺（ConsoleAction）、API網關（ApiCall）及系統內調用（SystemAction）。

系統內調用為非用戶觸發的操作，例如自動觸發的告警、彈性伸縮、定時備份任務以及為完成用戶請求產生的系統內部次級調用等，這種情況下，不存在直接觸發操作的用戶或設備，根據審計的客觀性原則，該兩個字段。