阿里云操作审计 - 日志安全分析（一）

摘要： 阿里云操作审计ActionTrail审计日志已经与日志服务打通，提供准实时的审计分析、开箱机用的报表功能。本文介绍背景、配置和功能概览。

背景
安全形式与日志审计
伴随着越来越多的企业采用信息化、云计算技术来提高效率与服务质量。针对企业组织的网络、设备、数据的攻击从来没有停止过升级，这些针对性攻击一般以牟利而并是不破坏为目的，且越来越善于隐藏自己，因此发现并识别针这些攻击也变得越来越有挑战。
根据FileEye M-Trends 2018报告, 2017年的企业组织的攻击从发生到被发现，一般经过了多达101天，其中亚太地区问题更为严重，一般网络攻击被发现是在近498（超过16个月）之后。另一方面，根据报告，企业组织需要花费多达57.5天才能去验证这些攻击行为。
作为审计与安全回溯的基础，企业IT与数据资源的操作的日志一直以来是重中之重。随着网络信息化的成熟发展，并伴随[国家网络安全法规](http://www.itsec.gov.cn/fgbz/...
)的深入落实要求，企业组织也越来越重视操作日志的保存与分析，其中云计算中的资源的操作记录是一类非常重要的日志。

阿里云操作审计
阿里云操作审计(ActionTrail)会记录您的云账户资源操作，提供操作记录查询，并可以将记录文件保存到您指定的OSS或日志服务中。利用 ActionTrail保存的所有操作记录，您可以实现安全分析、资源变更追踪以及合规性审计。

ActionTrail收集云服务的API调用记录（包括用户通过控制台触发的API调用记录），规格化处理后将操作记录以JSON形式保存并支持投递。一般情况下，当用户通过控制台或SDK发起操作调用之后，ActionTrail会在十分钟内收集到操作行为。

阿里云日志服务
阿里云的日志服务（log service）是针对日志类数据的一站式服务，无需开发就能快捷完成海量日志数据的采集、消费、投递以及查询分析等功能，提升运维、运营效率。日志服务主要包括 实时采集与消费、数据投递、查询与实时分析 等功能。

阿里云操作审计日志实时分析概述
目前，阿里云操作审计的已经与日志服务打通，提供实时分析与报表中心的功能。一般操作审计收集到（10分钟以内）操作日志，就会实时投递到日志服务中。

发布时间
2018年7月份

发布地域
国内
国际
政务云
适用客户
对日志存储有合规需求的大型企业与机构，如金融公司、政府类机构等。
需要实时了解云资产操作的整体状况，并对关键业务的操作进行深入分析与审计的企业，如金融类、电商类和游戏类企业等。
发布功能：
轻松配置，即可实时操作审计日志投递。
依托日志服务，提供实时日志分析，并提供开箱即用的报表中心（支持定制），对重要云资产的操作如指掌，并可实时挖掘细节。
提供每月500MB免费导入与存储额度，并可自由扩展存储时间，以便合规、溯源、备案等。支持不限时间的存储，存储成本低至0.35元/GB/月。
支持基于特定支持、特定操作，定制准实时监测与报警，确保关键业务异常及时响应。
可对接其他生态如流计算、云存储、可视化方案，进一步挖掘数据价值。
前提条件
开通日志服务。
开通操作审计服务
如何配置
进入ActionTrail控制台，选择任意区域，创建一个跟踪，在页面引导下开通日志服务以及授权后，输入想要导入的日志服务的项目（以及其所在区域），就可以在日志服务中查看到相关的日志了。

专属日志库
当您在操作审计控制台配置跟踪日志到日志服务中后, ActionTrail会实时将操作审计日志导入到您拥有的日志服务的专属日志库中。默认当前账户所有区域的云资源的操作日志都会被导入这一个专属日志库中。

属性
专属的日志库名字是${阿里云id}_actiontrail_${跟踪名称}，存放于用户所选择日志服务的项目中。
默认的日志库的分区数量是2个, 并且打开了自动Split功能，默认的存储周期是90天（超过90天的日志会自动被删除，可以修改为更长时间）。

限制
专属的日志库用于存入专有的审计日志, 因此不允许用户通过API/SDK写入其他数据. 其他的查询、统计、报警、流式消费等功能与一般日志库无差别.

专属报表
另一方面，ActionTrail也会自动给用户配置的日志服务项目中创建对应日志报表。日志报表的名字是：
${阿里云id}_actiontrail_${跟踪名称}_audit_center

功能概览
配置后即可使用跳转的链接对审计日志进行实时分析功能，并使用自带的报表.

场景一: 实时云资源操作异常排查与问题分析，意外删除，高危操作等
例如：查看ECS删除操作日志等。

更多:

场景二: 重要资源操作的分布与来源追踪，溯源并辅助应对策略等
例如：查看删除RDS机器的操作者的国家分布等。

更多:

场景三: 整体资源操作分布，运维可靠性指标一目了然
例如：查看失败的操作的趋势等

更多:

场景四: 运营分析，资源使用状况，用户登录等
例如：查看来自各个网络运营商的操作者的频率分布等。

更多:

进一步参考
我们会介绍更多关于如何配置并使用ActionTrail审计日志对云资产登录、操作和安全状况进行详细分析的内容，敬请期待。

原文链接