云审计服务 cts-九游平台

操作场景

云审计服务会定时将跟踪到的事件以事件文件的形式按周期保存至obs桶。事件文件是按照服务、转储周期两个维度生成的事件集，系统会根据当前负载情况调整每个事件文件包含的事件数。云审计服务还支持将审计日志保存到lts日志流中。

本节介绍如何在obs中通过下载事件文件查看已保存至obs桶的历史操作记录，以及如何在lts日志流中查看事件记录。

前提条件

已在云审计服务中成功配置追踪器，且打开obs转储开关或lts转储开关。配置方法请参见。

查询obs中转储事件

配置追踪器时，若打开“转储到obs”开关，操作事件将以事件文件的形式按周期保存至obs桶。

1. 登录管理控制台。
2. 单击左上角，选择“管理与监管 >云审计服务 cts”，进入云审计服务页面。
3. 单击左侧导航树的“追踪器”，进入追踪器信息页面。
4. 单击“存储服务”下的指定的obs桶名称，页面跳转到obs管理控制台上对应obs桶的对象管理界面。
   图1 选择obs
   
5. 在obs桶中，按照事件文件存储路径选择需要查看的历史事件，然后单击右侧的“下载”，文件将下载到浏览器默认下载路径。如需将事件文件保存到自定义路径下，请单击右侧的“更多 > 下载为”按键。
   • 事件文件存储路径：

     obs桶名>cloudtraces>地区标示>时间标示：年>时间标示：月>时间标示：日>追踪器名称 >服务类型目录

     例如：user define>cloudtraces>region>2016>5>19>system>ecs

   • 事件文件命名格式：

     操作事件文件前缀_cloudtrace_区域标示/区域标示-项目标示_日志文件上传至obs的时间标示：年-月-日t时-分-秒z_系统随机生成字符.json.gz

     例如：file prefix_cloudtrace_region-project_2016-05-30t16-20-56z_21d36ced8c8af71e.json.gz

   

   obs桶名和事件前缀为用户设置，其余参数均为系统自动生成。

   下载将产生请求费用和流量费用。

   关于云审计服务事件结构的关键字段详解，请参见和。

   图2 查看事件文件内容
   
6. 文件下载到本地后，通过解压可以得到与压缩包同名的json文件，通过记事本等txt文档编辑软件即可查看到保存的追踪日志信息。

查询lts中转储事件

配置追踪器时，若打开“转储到lts”开关，操作事件将转储到“cts/{tracker name}”日志流中。{tracker name}为当前追踪器的名称，例如管理类追踪器的日志流路径为“cts/system-trace”。

1. 登录管理控制台
2. 单击左上角，选择“管理与监管 > 云审计服务 cts”，进入云审计服务控制台页面。
3. 单击左侧导航树的“追踪器”，进入追踪器信息页面。
4. 单击“存储服务”下的指定的lts日志流名称，页面跳转到lts管理控制台上对应lts日志流界面。
5. 在cts日志流界面，选择“{tracker name}”日志流，查看事件日志。

   关于云审计服务事件结构的关键字段详解，请参见和。

6. 单击按钮，可以下载日志文件到本地。
   

   lts单次下载支持最大5,000条日志。若所选日志超过5000条，不可使用lts本地下载功能，请选择obs转储下载。