步骤1:进入审计日志配置界面
说明:
步骤2:启动审计日志服务
单击立即启用,启动审计日志服务。
步骤3:配置审计类型和投递信息
根据实际需要选择需要审计的操作类型,并配置投递的 CLS 日志 TOPIC 中。
说明:
1. 建议投递的 topic 选择一个新建的 topic,不要和原有的其他日志 topic 混用。
2. 多个文件系统的审计日志可以投到相同的 topic 里,因为其日志结构是一致的。
步骤4:查看审计日志投递情况
可在文件系统的基本信息页,查询到具体当前的审计日志配置情况。同时,点击检索分析可快速跳转至检索页面,方便进行相关的检索。
步骤5:检索审计日志
检索审计日志会使用到 CLS 日志服务的交互式查询能力,您可以通过简单的 SQL 语句快速的查询到需要的内容,如下我们将给出几个主要场景的最佳实践 SQL 语句。
说明:
CLS 日志服务的检索语句和标准的 SQL 有些许差异,建议您按照本文推荐的最佳实践方式进行查询。
场景1:确认某台云服务器(IP 地址为标识),对文件存储的操作是否符合预期。
操作:
查询此台云服务器(IP)在一段时间内的操作记录。
*|SELECT * WHERE ip='10.206.0.31' and datetime between '2024.11.08 09:00:02' and '2024.11.11 12:00:02'
结果示例:
场景2:某个路径下的文件被误删,需确认操作的 IP 地址和时间。
操作:
查询此路径下所有的删除操作。
*|SELECT * WHERE path like '%cfs/%' and op='remove'
结果示例:
场景3:查询某个Linux用户,在一段时间内执行的所有操作。
操作:
*|SELECT * WHERE uid=0 and datetime between '2024.11.08 09:00:02' and '2024.11.08 12:00:02'
结果示例:
说明:
本文主要提供了常见场景的操作情况,当您有更复杂的检索需求时,可灵活使用 SQL 语句中 groupby、count、orderby 等函数进行检索。
