云审计服务“黑科技”讲解之架构初探篇

AWS的cloudtrail以及阿里的操作日志都在各个云化解决方案中有着举足轻重的地位。华为云审计服务也不例外，它能为用户提供记录资源操作的能力并配套提供操作事件列表、筛选搜索多种查看功能，同时可以将操作记录合并成文件转储到对象存储以方便用户进行操作记录分析。能够支持千万级数据存储以及实时搜索需要有强大的后端架构支撑，该系列文章会向大家讲解到底云审计服务使用了什么“黑科技”，本文主要带领大家初探云审计架构。

首先使用一幅图介绍云审计的基础功能。一言以蔽之，云审计服务提供资源操作记录、查询事件及转储事件等能力。

下面我们分为三个场景来介绍整个数据的流向，从而了解云审计服务的整体架构。下图场景为租户通过控制台下发请求进行事件查询以及Tracker（即CTS收集审计日志的专有资源）管理的操作。

• 查询事件：租户通过控制台下发请求，由Console节点进行转发，最终由API处理逻辑并向Cassandra数据库下发请求，最终返回查询结果
  

• Tracker  管理：租户可以通过控制台对*** 进行简单的crud操作。其中Cache存放租户下的热点数据（Tracker 信息），当系统内部需要获取租户*** 信息进行校验等操作时，可大量减少数据库操作，减少系统响应延时。

    事件上报：租户在使用云上资源时，这里以ECS为例，当ECS管理节点收到创建/删除成功的消息时，会异步向云审计服务上报该操作相关    的事件。云审计服务API节点收到该请求，首先从Cache节点中取出相关Tracker 信息判断出该租户有没有开通云审计服务，之后存入Cassandra数据库中。同时EP节点会定时的从Cassandra数据库中拉取事件并转储到对象存储服务中以供租户永久查看事件。

以上就是本篇文章所要介绍的内容，架构虽然简单，但是其中隐藏着不少“黑科技“，例如Cassandra定制化以应对高并发大数据的高效存储、EP集群如何做到均分任务及可靠性保证、云上服务上报事件机制以及异常处理、如何做到双活容灾等等。这些问题后续文章中会想大家一一讲解，不见不散。