場景描述

云審計服務能夠為您提供云服務資源的操作記錄，記錄的信息包括發起操作的用戶身份、IP地址、具體的操作內容的信息，以及操作返回的響應信息。根據這些操作記錄，您可以很方便地實現安全審計、問題跟蹤、資源定位，幫助您更好地規劃和利用已有資源、甄別違規或高危操作。

什么是事件

事件即云審計服務追蹤并保存的云服務資源的操作日志，操作包括用戶對云服務資源新增、修改、刪除等操作。您可以通過“事件”了解到誰在什么時間對系統哪些資源做了什么操作。

約束與限制

• 用戶通過云審計控制臺只能查詢最近7天的操作記錄，過期自動刪除，不支持人工刪除。如果需要查詢超過7天的操作記錄，您必須配置轉儲到對象存儲服務（OBS）或云日志服務（LTS），才可在OBS桶或LTS日志組里面查看歷史事件信息。否則，您將無法追溯7天以前的操作記錄。

• 用戶對云服務資源做出創建、修改、刪除等操作后，1分鐘內可以通過云審計控制臺查詢管理類事件操作記錄，5分鐘后才可通過云審計控制臺查詢數據類事件操作記錄。

在CTS查看審計事件

1. 登錄控制臺，單擊左上角，選擇“管理與部署 > 云審計服務 CTS”，進入云審計服務頁面。

2. 單擊左側導航欄的“事件列表”，進入事件列表信息頁面。

3. 在頁面右上方，可以通過篩選時間范圍，查詢最近1小時、最近1天、最近1周的操作事件，也可以自定義最近7天內任意時間段的操作事件。

4. 事件列表支持通過篩選來查詢對應的操作事件。

   參數名稱	說明
   事件類型	事件類型分為“管理事件”和“數據事件”。 管理類事件，即用戶對云服務資源新建、修改、刪除等操作事件。 數據類事件，即OBS服務上報的OBS桶中的數據的操作事件，例如上傳數據、下載數據等。
   云服務	在下拉選項中，選擇觸發操作事件的云服務名稱。
   資源類型	在下拉選項中，選擇操作事件涉及的資源類型。 支持的資源類型請參見“支持云審計的CFW操作列表”。
   篩選類型	篩選類型分為“資源ID”、“事件名稱”和“資源名稱”。 資源ID：操作事件涉及的云資源ID。 當該資源類型無資源ID，或資源創建失敗時，該字段為空。 事件名稱：操作事件的名稱。 支持審計的操作事件的名稱請參見“支持云審計的CFW操作列表”。 資源名稱：操作事件涉及的云資源名稱。 當事件所涉及的云資源無資源名稱，或對應的API接口操作不涉及資源名稱參數時，該字段為空。
   操作用戶	觸發事件的操作用戶。 下拉選項中選擇一個或多個操作用戶。 查看事件中的trace_type的值為“SystemAction”時，表示本次操作由服務內部觸發，該條事件對應的操作用戶可能為空。
   事件級別	可選項包含“所有事件級別”、“Normal”、“Warning”、“Incident”，只可選擇其中一項。 Normal代表操作成功。 Warning代表操作失敗。 Incident代表比操作失敗更嚴重的情況，如引起其他故障等。

5. 選擇完查詢條件后，單擊“查詢”。

6. 在事件列表頁面，您還可以導出操作記錄文件和刷新列表。

   • 單擊“導出”按鈕，云審計服務會將查詢結果以CSV格式的表格文件導出，該CSV文件包含了本次查詢結果的所有事件，且最多導出5000條信息。

   • 單擊按鈕，可以獲取到事件操作記錄的最新信息。

7. 在需要查看的事件左側，單擊展開該記錄的詳細信息。

8. 在需要查看的記錄右側，單擊“查看事件”，會彈出一個窗口顯示該操作事件結構的詳細信息。

相關文檔

關于事件結構的關鍵字段詳解，請參見事件結構-云審計、事件樣例-云審計。