华为云账号购买平台 华为云如何查看操作日志

你有没有过这种体验：

半夜三点，服务器突然崩了，你抓着头发翻监控，最后发现——哦，原来是隔壁组同事手滑点了「释放实例」；
或者领导问：「上周五谁把RDS密码策略改了？」你翻遍安全中心、配置管理、数据库页面，愣是没找到蛛丝马迹；
又或者，审计组发来一封邮件：「请提供2024年7月15日14:23至14:28期间所有对OBS桶的操作记录」……你盯着屏幕，默默打开了浏览器收藏夹里那个叫「华为云帮助中心」的链接，点开后发现文档写了27页，关键词搜了三遍，还是没搞懂「追踪器」和「事件」到底谁生谁？

别慌。今天这篇，不画大饼、不堆术语、不甩官方文档链接，就当咱俩坐在工位上，我泡了杯枸杞茶，你递来一杯冰美式，咱们一起把「华为云操作日志」这件事，从「找不着北」干到「闭眼都能查」。

一、先划重点：操作日志≠控制台操作记录，它藏在「云审计服务（CTS）」里

很多同学第一反应是去「账号中心」看「操作历史」，或者在某个ECS页面右上角点三个点找「操作日志」——抱歉，那不是你要的日志。华为云真正全量、可追溯、带身份/时间/参数的操作日志，只由一个服务负责：云审计服务（Cloud Trace Service，简称 CTS）。

它就像给整个华为云账户装了个24小时高清行车记录仪：谁、什么时间、在哪块服务（ECS/OBS/RDS/VPC）、执行了什么动作（创建/删除/修改）、用了什么参数（比如删的是哪台ECS、改的是哪个安全组规则）、结果成功还是失败——全都记，且默认保留30天（可延长至180天）。

二、第一步：确认CTS已开通（99%的人其实早就开了）

登录华为云控制台 → 右上角头像 → 「我的凭证」→「云服务」→ 搜索「云审计服务」。如果看到状态是「已开通」，恭喜，你已经拥有日志能力，跳到第三步；如果显示「未开通」，点「立即开通」即可——免费，秒级生效，不需要填表、不审核、不打电话回访。

⚠️小贴士：新注册账号首次进入CTS页面时，系统会自动为你创建一个「默认追踪器」，名字叫tracker-default，它会采集当前区域下所有云服务的操作事件。所以，只要你没手动删过它，日志就在那儿静静躺着。

三、第二步：直奔核心——查日志的三种姿势

姿势① 快速查：用「事件列表」看最近7天高频操作

进入CTS控制台 → 左侧菜单点「事件列表」→ 页面默认展示最近7天的所有事件（按时间倒序）。这里你可以：
• 看「事件名称」快速识别动作（如RunInstances＝创建ECS，DeleteBucket＝删除OBS桶）；
• 看「资源类型」锁定服务（ecs、obs、rds）；
• 看「用户名」确认操作人（注意：如果是AK/SK调用API，显示的是AK前6位+…）；
• 点「详情」展开看完整请求ID、参数JSON、响应码、错误消息（排障神器！）。

姿势② 精准查：用「高级搜索」过滤关键字段

点击右上角「高级搜索」按钮（不是那个小放大镜图标！是文字按钮），弹窗里能填：
• 时间范围（支持精确到秒，比如2024-07-15T14:23:00Z 至 2024-07-15T14:28:59Z）；
• 云服务名称（下拉选择，别手输，避免大小写或空格错误）；
• 事件名称（支持模糊匹配，输delete能搜出所有删除类事件）；
• 资源ID（粘贴你记得的实例ID，比如ecs-xxxxxx）；
• 用户名（支持邮箱或IAM用户名，如[email protected]）。

敲黑板：如果你查「谁删了我的ECS」却没结果，请检查两点：
① 你是否在正确的区域查？ECS在北京四区，但你在华东-上海一区查，肯定空空如也；
② 删除操作可能触发多个事件，除了TerminateInstances，还有DeleteVolume、DeleteSecurityGroup等关联动作，建议用「资源ID」+「时间范围」双杀。

姿势③ 长期盯：创建「告警通知」，重大操作微信/邮件秒达

进CTS →「告警通知」→「创建告警规则」。例如：设置当出现DeleteBucket或ModifyAccountPassword时，立刻发邮件给你和安全负责人。这招专治「等出事才想起查日志」的被动局面。

四、第三步：导出与存档——别让日志只活在网页里

在「事件列表」页，勾选要导出的行（支持批量），点击「导出」→ 选择CSV格式（Excel友好）→ 下载。文件包含：事件时间、事件名称、云服务、资源类型、资源ID、用户名、事件状态、请求ID、事件内容（JSON字符串）。

更狠的存档法：在CTS中创建「OBS转储」。把日志自动推送到你的OBS桶，按天/按小时生成文件（如cts-log/2024/07/15/14/xxx.json），配合OBS生命周期策略，自动归档到低频/归档存储，成本比存在CTS里还低。

五、避坑指南：那些让你怀疑人生的「查不到」时刻

Q：为什么我明明刚重启了ECS，日志里却没记录？
A：检查是否启用了「数据事件」。默认追踪器只记录「管理事件」（如创建、删除、配置变更）。重启ECS属于「数据事件」，需在追踪器设置里手动开启，并指定OBS桶接收（因为数据事件量大，华为云不默认保存）。

华为云账号购买平台 Q：日志里显示「AnonymousUser」是谁？
A：说明这次操作是用临时AK（如通过STS获取的凭证）或匿名访问（极少见），无法关联到具体IAM用户，需检查调用方是否用了角色扮演或未绑定用户身份的SDK调用。

Q：能查到别人账号的操作吗？
A：不能。CTS日志严格遵循租户隔离原则。你只能查自己主账号及下属子用户的操作。跨账号？不存在的，除非对方主动共享日志OBS桶并给你读权限。

六、终极心法：养成三个习惯，告别日志焦虑

❶ 每日晨会前花2分钟：打开CTS「事件列表」，按「失败」筛选，扫一眼昨夜有无异常报错（尤其关注403/404/500类）；
❷ 每次执行高危操作前（删库、改生产配置、释放实例），截图记录当前时间+操作目标，事后对照日志验证；
❸ 给关键服务加个「操作标签」：比如在ECS创建时打上owner:zhangsan，日志里就能直接按标签过滤，比记ID靠谱多了。

最后送一句大实话：日志不会帮你写代码、不会替你扛锅、也不会自动修复故障。但它是一面镜子——照见谁动了什么、什么时候动的、动得对不对。而真正的运维自由，从来不是「不出错」，而是「出错后，30秒内定位到人、时间、参数、证据链」。

现在，关掉这篇文章，打开华为云，去CTS里搜搜你上周五删掉的那个测试ECS吧。如果找到了，给自己泡杯茶；如果还没找到……别急，Ctrl+F，再搜一遍「区域」。