开发者社区> 问答> 正文

如何通过ActionTrail实现日志审计?


Action Trail 是阿里云提供的一款云产品,用于记录用户账号各类 API 调用操作。Action Trail 记录了每次 API 调用的重要信息,如操作者、操作时间、对象、动作类型、来源等详尽的信息。这些调用记录,可以精确追踪、还原用户行为,对于安全分析,资源变更追查,合规审查有非常重要的作用。
日志服务数据可以通过Action Trail对采集到的多来源日志进行全方位的信息审计,达到日志审计的目的。

功能架构




1. Action Trail 接入日志服务


各类API调用的日志分散在各处,可以通过日志服务批量收集散落在各地的日志。各个应用通过Logtail,将每条日志解析为key:value 式的半结构化形式,并上传至日志服务中应用各自的Project。然后通过 RAM 授权 Action Trail 读取这部分日志。只要约定 Action Trail 需要的key,Action Trail就可以直接从日志服务消费各应用的 API 调用日志了。

2. Action Trail 批量处理各类日志


各个应用所产生的日志类型和日志格式各不相同,但这些日志经由日志服务收集到服务端后,以半结构化格式储存。Action Trail 对于半结构化格式的日志可以做到批量处理、分析。Action Trail 实时地从日志服务中抓取各应用的日志,提取必要的字段,并将剩余的字段统一打包在一起。清洗完毕的数据,Action Trail 也记录在本地,通过 Logtail 实时上传至日志服务中 Action Trail 的 Project 中。
下图就是经过清洗处理后的一条日志,该日志记录了一个用户在 17:53 重启了一个虚拟机。


3. 数据存储


Action Trail 定期从日志服务中批量读取处理后的日志,根据用户账号和应用类型进行分类,上传至用户授权的 bucket 中,以供用户直接从自己的 OSS bucket 中读取这部分日志。

展开
收起
轩墨 2017-10-23 12:47:52 2697 0
0 条回答
写回答
取消 提交回答
问答排行榜
最热
最新

相关电子书

更多
Ingress日志中心介绍 立即下载
基于日志trace的智能故障定位系统 立即下载
日志数据采集与分析对接 立即下载