云审计服务会根据既有的OBS存储桶策略来传送事件文件。如果错误地配置OBS存储桶策略，那么云审计服务将无法传送事件文件。

被删除或有异常的OBS桶，管理控制台界面会显示相应的错误提示信息。用户可选择重新创建OBS桶或重新配置OBS桶的访问权限。

支持。原则上进行完整性校验时必须包含以下字段：time、service_type、resource_type、trace_name、trace_rating、trace_type，其他字段由各服务自己定义。

可以为空的字段有source_ip、code、request、response和message，这些字段并非云审计服务规定的必备字段：

1. -source_ip：当trace type为SystemAction时，表示本次操作由服务内部触发，此时缺失IP字段为正常情况。
2. -request/response/code：这三个字段是表示本次操作所对应的请求内容、请求结果及HTTP返回码，在有些情况下，这些字段本身为空，或不具备业务意义，产生该事件的云服务会根据实际情况选择某字段留空。
3. -message：该字段为预留字段，若其他云服务基于业务需要，需要增加额外信息时，可附加在该字段内，缺失为正常情况。

对于异步调用事件，会产生两条事件记录，其事件名称、资源类型、资源名称等字段相同。在事件列表中，看起来是重复记录了操作（例如，Workspace的deleteDesktop事件），但实际上，这两条事件是相互关联、但内容不同的两条记录，典型的异步调用场景时间如下：

1. -第一条事件：记录用户发起的请求；
2. -第二条事件：记录用户请求的操作结果，通常与第一条时间记录有数分钟的延迟，记录用户请求的实际响应结果。

两条事件需要结合在一起，才能反映用户本次操作的真实结果。

当用户发起的某些请求涉及后台一些高权限要求的操作或涉及调用其他服务时，可能存在用户自身的权限不足的问题，因此在确保符合安全要求的前提下，会临时对该请求中的用户身份进行提权，请求完成后提权结束，但会将提权行为记录到该请求发送到CTS的日志当中，此时的操作用户将记录为user_name或者op_service。

云审计服务支持对全部的关键操作发送通知，支持的服务类型包括ECS、EVS、VPC、DEW、IAM和原生OpenStack等，支持的操作类型上包括创建、删除、登录和对原生OpenStack接口等操作。

云审计服务仅保存近7天的事件，可以对追踪器增加OBS转储的相关配置，将事件同步、长期保存至OBS桶。具体操作请参考配置追踪器。