如何通过ActionTrail实现日志审计？

Action Trail 是阿里云提供的一款云产品，用于记录用户账号各类 API 调用操作。Action Trail 记录了每次 API 调用的重要信息，如操作者、操作时间、对象、动作类型、来源等详尽的信息。这些调用记录，可以精确追踪、还原用户行为，对于安全分析，资源变更追查，合规审查有非常重要的作用。
日志服务数据可以通过Action Trail对采集到的多来源日志进行全方位的信息审计，达到日志审计的目的。

功能架构




1. Action Trail 接入日志服务


各类API调用的日志分散在各处，可以通过日志服务批量收集散落在各地的日志。各个应用通过Logtail，将每条日志解析为key:value 式的半结构化形式，并上传至日志服务中应用各自的Project。然后通过 RAM 授权 Action Trail 读取这部分日志。只要约定 Action Trail 需要的key，Action Trail就可以直接从日志服务消费各应用的 API 调用日志了。

2. Action Trail 批量处理各类日志


各个应用所产生的日志类型和日志格式各不相同，但这些日志经由日志服务收集到服务端后，以半结构化格式储存。Action Trail 对于半结构化格式的日志可以做到批量处理、分析。Action Trail 实时地从日志服务中抓取各应用的日志，提取必要的字段，并将剩余的字段统一打包在一起。清洗完毕的数据，Action Trail 也记录在本地，通过 Logtail 实时上传至日志服务中 Action Trail 的 Project 中。
下图就是经过清洗处理后的一条日志，该日志记录了一个用户在 17:53 重启了一个虚拟机。


3. 数据存储


Action Trail 定期从日志服务中批量读取处理后的日志，根据用户账号和应用类型进行分类，上传至用户授权的 bucket 中，以供用户直接从自己的 OSS bucket 中读取这部分日志。