开发者社区 问答 正文

如何通过ActionTrail实现日志审计?


Action Trail 是阿里云提供的一款云产品,用于记录用户账号各类 API 调用操作。Action Trail 记录了每次 API 调用的重要信息,如操作者、操作时间、对象、动作类型、来源等详尽的信息。这些调用记录,可以精确追踪、还原用户行为,对于安全分析,资源变更追查,合规审查有非常重要的作用。
日志服务数据可以通过Action Trail对采集到的多来源日志进行全方位的信息审计,达到日志审计的目的。

功能架构




1. Action Trail 接入日志服务


各类API调用的日志分散在各处,可以通过日志服务批量收集散落在各地的日志。各个应用通过Logtail,将每条日志解析为key:value 式的半结构化形式,并上传至日志服务中应用各自的Project。然后通过 RAM 授权 Action Trail 读取这部分日志。只要约定 Action Trail 需要的key,Action Trail就可以直接从日志服务消费各应用的 API 调用日志了。

2. Action Trail 批量处理各类日志


各个应用所产生的日志类型和日志格式各不相同,但这些日志经由日志服务收集到服务端后,以半结构化格式储存。Action Trail 对于半结构化格式的日志可以做到批量处理、分析。Action Trail 实时地从日志服务中抓取各应用的日志,提取必要的字段,并将剩余的字段统一打包在一起。清洗完毕的数据,Action Trail 也记录在本地,通过 Logtail 实时上传至日志服务中 Action Trail 的 Project 中。
下图就是经过清洗处理后的一条日志,该日志记录了一个用户在 17:53 重启了一个虚拟机。


3. 数据存储


Action Trail 定期从日志服务中批量读取处理后的日志,根据用户账号和应用类型进行分类,上传至用户授权的 bucket 中,以供用户直接从自己的 OSS bucket 中读取这部分日志。

展开
收起
轩墨 2017-10-23 12:47:52 2726 分享
分享
版权
举报
阿里云 AI 助理回答

Action Trail(操作审计)是阿里云提供的一项关键安全服务,专注于记录和监控阿里云账号下的用户活动,包括通过控制台、OpenAPI及开发者工具进行的云产品和服务访问与使用行为。这一服务对于确保账户安全、执行安全分析、追踪资源变更及满足合规性要求至关重要。

Action Trail 与日志服务(SLS)集成的功能架构

1. 日志接入与集中处理

  • 日志收集:利用日志服务(Log Service, SLS)的Logtail客户端,可以将分散在不同来源的API调用日志统一收集起来。这些日志被解析成半结构化的key:value格式,便于后续处理和查询。
  • 权限配置:通过RAM(Resource Access Management)授权,确保Action Trail能够读取到日志服务中存储的应用API调用日志。这一步骤需要明确指定Action Trail所需的关键字段信息以便于数据的精准提取。

2. 数据处理与分析

  • 批量处理与分析:Action Trail能对SLS中汇集的各类半结构化日志进行高效处理。它实时抓取并分析日志,提取如操作者、时间戳、操作对象、动作类型等关键信息,并将这些数据整合打包,进一步丰富审计内容。
  • 清洗与上传:处理后的日志数据会被Action Trail记录并再次通过Logtail实时上传至SLS中专为Action Trail设置的Project,实现数据的二次存储与即时可用性。

3. 数据存储与归档

  • 长期存储与分类:Action Trail支持将经过处理的日志数据按用户账号和应用类型分类后,定期批量导出至用户授权的OSS(Object Storage Service)存储桶中。这样,用户可直接从自己的OSS bucket中获取并分析这些审计日志,以满足长期存储或离线分析的需求。

综上所述,Action Trail与日志服务的集成实现了API调用日志的集中管理、高效处理与长期存储,为用户提供了一个全面且高效的日志审计解决方案。

有帮助
无帮助
AI 助理回答生成答案可能存在不准确,仅供参考
0 条回答
写回答
取消 提交回答