事件跟踪（转存日志）

云审计跟踪支持将账号内的审计日志按照一定的筛选条件投递到您指定的对象存储桶（TOS Bucket）或日志服务主题（TLS Topic）中。

• 当前每个账号至多可创建5个跟踪任务；
• 事件通常在2分钟内投递至TLS，10分钟内投递至TOS;
• 系统投递TOS时会将每5分钟的日志聚合为一个文件，当您的审计日志较为密集时，5分钟内也可能会生成多个文件；
• 系统投递TLS后会帮您自动创建index索引。索引在异常情况下可能会创建失败，若您观察到索引未创建成功，您可以在TLS控制台手动创建；
• 跟踪任务停止或删除后，系统不再向您的对象存储桶或日志主题中投递日志（存在约1分钟延迟），但您的存储桶和日志主题不会被删除，已存储的审计日志也不会被删除。

云审计跟踪服务本身不收取费用，但日志转存到您的存储服务后，相应存储服务会按照计费标准进行计费。您可参考：

• 对象存储计费说明
• 日志服务计费说明

IAM策略授权:
云审计跟踪功能权限包含在云审计服务内，您可以使用以下IAM预设策略为IAM用户、用户组或角色授权：

• CloudTrailFullAccess：云审计全部权限，包含云审计查询、云审计跟踪的全部权限。
• CloudTrailReadOnlyAccess：云审计的只读权限，仅能查询云审计、查询云审计跟踪列表和配置。

跨服务访问授权:
云审计跟踪需要向您的对象存储桶（TOS Bucket）或日志服务主题（TLS Topic）中投递审计日志，因此需要您授予云审计访问TOS和TLS的权限，该授权通过IAM服务角色实现，创建云审计跟踪时将一并创建该角色（角色名：ServiceRoleForCloudTrail）。

新建跟踪任务

进入云审计跟踪页，点击新建跟踪任务，填写跟踪基本信息和投递配置，可选择用已有的TOS、TLS资源或新建资源用于审计投递。

修改跟踪任务

在跟踪任务列表中点击要管理的跟踪任务，进入详情页面，点击修改按钮，对跟踪任务基本信息和投递配置进行修改。

停用或删除跟踪任务

当您需要停止投递审计日志时，您可以在跟踪任务详情中停用任务或在跟踪列表中删除跟踪任务。停用或删除跟踪任务后，系统不再向您的对象存储桶或日志主题中投递日志（存在约1分钟延迟），但您的存储桶和日志主题不会被删除，已存储的审计日志也不会被删除。