場景描述

云審計服務能夠為您提供云服務資源的操作記錄，記錄的信息包括發起操作的用戶身份、IP地址、具體的操作內容的信息，以及操作返回的響應信息。根據這些操作記錄，您可以很方便地實現安全審計、問題跟蹤、資源定位，幫助您更好地規劃和利用已有資源、甄別違規或高危操作。

什么是事件

事件即云審計服務追蹤并保存的云服務資源的操作日志，操作包括用戶對云服務資源新增、修改、刪除等操作。您可以通過“事件”了解到誰在什么時間對系統哪些資源做了什么操作。

約束與限制

• 用戶通過云審計控制臺只能查詢最近7天的操作記錄，過期自動刪除，不支持人工刪除。如果需要查詢超過7天的操作記錄，您必須配置轉儲到對象存儲服務（OBS）或云日志服務（LTS），才可在OBS桶或LTS日志組里面查看歷史事件信息。否則，您將無法追溯7天以前的操作記錄。

• 用戶對云服務資源做出創建、修改、刪除等操作后，1分鐘內可以通過云審計控制臺查詢管理類事件操作記錄，5分鐘后才可通過云審計控制臺查詢數據類事件操作記錄。

• CTS新版事件列表不顯示數據類審計事件，您需要在舊版事件列表查看數據類審計事件。

在CTS新版事件列表查看審計事件

1. 登錄控制臺，選擇“管理與部署 > 云審計服務”，進入云審計服務頁面。

2. 單擊左側導航欄的“事件列表”，進入事件列表信息頁面。

3. 在列表上方，可以通過篩選時間范圍，查詢最近1小時、最近1天、最近1周的操作事件，也可以自定義最近7天內任意時間段的操作事件。

4. 事件列表支持通過高級搜索來查詢對應的操作事件，您可以在篩選器組合一個或多個篩選條件。

5. 參數名稱	說明
   事件名稱	操作事件的名稱。 輸入的值區分大小寫，需全字符匹配，不支持模糊匹配模式。 各個云服務支持審計的操作事件的名稱請參見《云審計服務用戶指南》的“支持審計的服務及操作列表”章節。 示例：updateAlarm
   云服務	云服務的名稱縮寫。 輸入的值區分大小寫，需全字符匹配，不支持模糊匹配模式。 示例：IAM
   資源名稱	操作事件涉及的云資源名稱。 輸入的值區分大小寫，需全字符匹配，不支持模糊匹配模式。 當該事件所涉及的云資源無資源名稱或對應的API接口操作不涉及資源名稱參數時，該字段為空。 示例：ecs-name
   資源ID	操作事件涉及的云資源ID。 輸入的值區分大小寫，需全字符匹配，不支持模糊匹配模式。 當該資源類型無資源ID或資源創建失敗時，該字段為空。 示例：{虛擬機ID}
   事件ID	操作事件日志上報到CTS后，查看事件中的trace_id參數值。 輸入的值需全字符匹配，不支持模糊匹配模式。 示例：01d18a1b-56ee-11f0-ac81-******1e229
   資源類型	操作事件涉及的資源類型。 輸入的值區分大小寫，需全字符匹配，不支持模糊匹配模式。 各個云服務的資源類型請參見《云審計服務用戶指南》的“支持審計的服務及操作列表”章節。 示例：user
   操作用戶	觸發事件的操作用戶。 下拉選項中選擇一個或多個操作用戶。 查看事件中的trace_type的值為“SystemAction”時，表示本次操作由服務內部觸發，該條事件對應的操作用戶可能為空。
   事件級別	下拉選項包含“normal”、“warning”、“incident”，只可選擇其中一項。 normal代表操作成功。 warning代表操作失敗。 incident代表比操作失敗更嚴重的情況，如引起其他故障等。

6. 在事件列表頁面，您還可以導出操作記錄文件、刷新列表、設置列表展示信息等。

   1. 在搜索框中輸入任意關鍵字，按下Enter鍵，可以在事件列表搜索符合條件的數據。

   2. 單擊“導出”按鈕，云審計服務會將查詢結果以.xlsx格式的表格文件導出，該.xlsx文件包含了本次查詢結果的所有事件，且最多導出5000條信息。

   3. 單擊按鈕，可以獲取到事件操作記錄的最新信息。

   4. 單擊按鈕，可以自定義事件列表的展示信息。啟用表格內容折行開關，可讓表格內容自動折行，禁用此功能將會截斷文本，默認停用此開關。

7. （可選）在新版事件列表頁面，單擊右上方的“返回舊版”按鈕，可切換至舊版事件列表頁面。

在CTS舊版事件列表查看審計事件

1. 登錄控制臺，選擇“管理與部署 > 云審計服務 CTS”，進入云審計服務頁面。

2. 單擊左側導航欄的“事件列表”，進入事件列表信息頁面。

3. 用戶每次登錄云審計控制臺時，控制臺默認顯示新版事件列表，單擊頁面右上方的“返回舊版”按鈕，切換至舊版事件列表頁面。

4. 在頁面右上方，可以通過篩選時間范圍，查詢最近1小時、最近1天、最近1周的操作事件，也可以自定義最近7天內任意時間段的操作事件。

5. 事件列表支持通過篩選來查詢對應的操作事件，如圖所示。
   

6. 參數名稱	說明
   事件類型	事件類型分為“管理事件”和“數據事件”。 管理類事件，即用戶對云服務資源新建、修改、刪除等操作事件。 數據類事件，即OBS服務上報的OBS桶中的數據的操作事件，例如上傳數據、下載數據等。
   云服務	在下拉選項中，選擇觸發操作事件的云服務名稱。
   資源類型	在下拉選項中，選擇操作事件涉及的資源類型。 各個云服務的資源類型請參見《云審計服務用戶指南》的“支持審計的服務及操作列表”章節。
   篩選類型	篩選類型分為“資源ID”、“事件名稱”和“資源名稱”。 資源ID：操作事件涉及的云資源ID。 當該資源類型無資源ID，或資源創建失敗時，該字段為空。 事件名稱：操作事件的名稱。 各個云服務支持審計的操作事件的名稱請參見《云審計服務用戶指南》的“支持審計的服務及操作列表”章節。 資源名稱：操作事件涉及的云資源名稱。 當事件所涉及的云資源無資源名稱，或對應的API接口操作不涉及資源名稱參數時，該字段為空。
   操作用戶	觸發事件的操作用戶。 下拉選項中選擇一個或多個操作用戶。 查看事件中的trace_type的值為“SystemAction”時，表示本次操作由服務內部觸發，該條事件對應的操作用戶可能為空。
   事件級別	可選項包含“所有事件級別”、“Normal”、“Warning”、“Incident”，只可選擇其中一項。 Normal代表操作成功。 Warning代表操作失敗。 Incident代表比操作失敗更嚴重的情況，如引起其他故障等。

7. 選擇完查詢條件后，單擊“查詢”。

8. 在事件列表頁面，您還可以導出操作記錄文件和刷新列表。

   1. 單擊“導出”按鈕，云審計服務會將查詢結果以CSV格式的表格文件導出，該CSV文件包含了本次查詢結果的所有事件，且最多導出5000條信息。

   2. 單擊按鈕，可以獲取到事件操作記錄的最新信息。

9. 在事件的“是否篡改”列中，您可以查看該事件是否被篡改：

   1. 上報的審計日志沒有被篡改，顯示“否”；

   2. 上報的審計日志被篡改，顯示“是”。

10. 在需要查看的事件左側，單擊展開該記錄的詳細信息。

    

    

11. 在需要查看的記錄右側，單擊“查看事件”，會彈出一個窗口顯示該操作事件結構的詳細信息。

    

12. （可選）在舊版事件列表頁面，單擊右上方的“體驗新版”按鈕，可切換至新版事件列表頁面。