文档中心

操作场景

根据云审计服务收集的日志记录，通过查询具体的、符合某一特征的记录，执行安全分析，判断用户的操作是否符合权限要求。

前提条件

已开通云审计服务且追踪器状态正常。开通云审计服务请参考章节2.1 申请云审计服务。

操作步骤

以审计最近两周云硬盘服务的创建和删除操作为例：

1.以管理员权限登录管理控制台。

2.单击“服务列表”，选择“管理与部署 > 云审计服务”，进入云审计服务详情页面。

3.单击左侧导航树的“事件列表”，进入事件列表界面。

4.在事件列表界面单击“筛选”，显示过滤条件查询框，依次选择“事件来源”>“资源类型”>“筛选类型”，单击“查询”按钮执行搜索，查看过滤结果。过滤条件查询示例：依次选择“evs”>“evs”>“按事件名称”>“createVolume”或“evs”>“evs”>“按事件名称”>“deleteVolume”，单击“查询”按钮执行搜索，查询所有创建或删除EVS的操作。

5.单击左侧导航树的“追踪器”，进入追踪器详情页面，获取OBS桶名。

6.参照章节2.4 查看已归档事件下载7天之前或者所有的事件。

7.在操作记录中，以createVolume和deleteVolume作为关键字检索，找到对应记录。

8.从第4步和第7步的结果中，抽取操作用户信息，甄别没有授权的操作，即用户越权操作，或不符合用户自身安全操作规范的操作。