操作场景

云审计服务会定时将跟踪到的事件以事件文件的形式按周期保存至OBS桶。事件文件是按照服务、转储周期两个维度生成的事件集，系统会根据当前负载情况调整每个事件文件包含的事件数。

本节介绍如何在OBS中通过下载事件文件查看已保存至OBS桶的历史操作记录。

前提条件

已在云审计服务中成功配置追踪器。配置方法请参见《云审计服务用户指南》的“配置追踪器”章节。

操作步骤

1.登录管理控制台。

2.选择“服务列表 > 管理与部署 > 云审计服务 CTS”，进入云审计服务页面。

3.单击左侧导航树的“追踪器”，进入追踪器信息页面。

4.单击“转储OBS桶”下的指定的OBS桶名称，页面跳转到OBS管理控制台中对应OBS桶的对象管理界面。

5.在OBS桶中选择需要查看的历史事件，按照事件文件存储路径选择“*OBS桶名 > CloudTraces > 地区标示 > 时间标示：年 > 时间标示：月 > 时间标示：日 * > 服务类型目录” ，文件将下载到浏览器默认下载路径，如需要将事件文件保存到自定义路径下，请单击右侧的“下载为”按键。

事件文件存储路径：

OBS 桶名 >CloudTraces> 地区标示 > 时间标示：年 > 时间标示：月 > 时间标示：日 > 服务类型目录

例如：User Define>CloudTraces>region>2016>5>19>ECS

事件文件命名格式：

操作事件文件前缀 CloudTrace 区域标示 _ 日志文件上传至OBS 的时间标示：年 - 月 - 日T 时 - 分 - 秒 Z_ 系统随机生成字符 .json.gz

例如： File Prefix _CloudTrace_region_2016-05-30T16-20-56Z_21d36ced8c8af71e.json.gz

说明

OBS桶名和事件前缀为用户设置，其余参数均为系统自动生成。

关于云审计服务事件结构的关键字段详解，请参见“事件结构”和“事件样例”。

6.文件下载到本地后，通过解压可以得到与压缩包同名的json文件，下载解压后的json文件如图2-1所示，通过记事本等txt文档编辑软件即可查看到保存的追踪日志信息。

图下载解压后的json文件