All Products
Search

This Product

    ActionTrail:Analisis event di SLS

    Document Center

    ActionTrail:Analisis event di SLS

    Last Updated:Jun 05, 2026

    ActionTrail mencatat event hingga 90 hari. Untuk menganalisis event yang lebih dari 90 hari, buat jejak untuk mengirimkannya ke Simple Log Service (SLS), lalu jalankan kueri di SLS guna menyelidiki insiden keamanan, melacak operasi, membuat laporan, dan mengonfigurasi peringatan.

    Prasyarat

    Anda telah membuat jejak untuk mengirimkan event ke SLS. Buat jejak akun tunggal. Buat jejak multi-akun.

    Selidiki AccessKey yang bocor

    Jika Anda mendeteksi panggilan API dari alamat IP yang tidak biasa atau mencurigai AccessKey telah dikompromikan, analisis jejak panggilan AccessKey tersebut di SLS untuk mengidentifikasi aktivitas mencurigakan.

    Identifikasi kota asal setiap panggilan. Kota di luar lokasi bisnis normal Anda menunjukkan potensi kompromi.

    1. Masuk ke Konsol Simple Log Service.

    2. Pada tab Projects, di bagian Projects, klik nama proyek untuk event tersebut.

    3. Klik nama Logstore, lalu gunakan pemilih rentang waktu di atas editor kueri untuk menetapkan rentang waktu.

    4. Di editor kueri, masukkan kueri berikut.

      __topic__: actiontrail_audit_event and event.userIdentity.accessKeyId:<YourAccessKeyId> | SELECT count(1) as pv, city FROM (SELECT "event.sourceIpAddress" AS ip, ip_to_city("event.sourceIpAddress") as city FROM log) WHERE ip_to_domain(ip)!='intranet' GROUP BY city ORDER BY pv DESC

      Catatan

      • Ganti <YourAccessKeyId> dengan ID AccessKey Anda.

      • Kueri ini menghitung jumlah panggilan per kota untuk AccessKey yang ditentukan. Kota di luar lokasi bisnis Anda menunjukkan potensi kompromi.

    5. Klik Search & Analyze untuk melihat hasilnya.

    6. Opsi: Jika AccessKey dikompromikan, sesuaikan izin Pengguna RAM terkait.

    Lacak penghapusan instance ECS

    Lacak operasi berisiko tinggi seperti penghapusan instance ECS untuk mengidentifikasi siapa yang melakukannya.

    1. Masuk ke Konsol Simple Log Service.

    2. Pada tab Projects, temukan bagian Projects dan klik nama proyek yang terkait dengan event tersebut.

    3. Klik nama Logstore, lalu gunakan pemilih rentang waktu di atas editor kueri untuk menetapkan rentang waktu.

    4. Di editor kueri, masukkan kueri berikut.

      __topic__: actiontrail_audit_event | SELECT serviceName, eventName, userName, count(1) as pv FROM (SELECT "event.eventName" as eventName, "event.serviceName" as serviceName, "event.userIdentity.userName" as userName FROM log) WHERE (serviceName = <TargetServiceName> and eventName = <TargetEventName>) GROUP BY serviceName, eventName, userName

      Catatan

      Ganti <TargetServiceName> dengan ECS dan <TargetEventName> dengan DeleteInstances untuk menemukan siapa yang menghapus instance ECS.

    5. Klik Search & Analyze untuk melihat hasilnya.

      Hasil menunjukkan pengguna mana saja yang menghapus instance ECS dan berapa kali. Untuk menyelidiki operasi tertentu, jalankan kueri berikut.

      __topic__: actiontrail_audit_event and event.serviceName:<TargetServiceName> and <TargetResourceId> and event.userIdentity.accessKeyId:<YourAccessKeyId>

    Buat laporan penggunaan sumber daya

    Buat laporan data tentang penggunaan sumber daya inti untuk mendukung perencanaan kapasitas dan penilaian risiko.

    Misalnya, analisis pembuatan instance ECS selama enam bulan terakhir untuk memperkirakan kebutuhan sumber daya enam bulan ke depan dan mengoptimalkan biaya.

    1. Masuk ke Konsol Simple Log Service.

    2. Pada tab Projects, temukan Projects dan klik nama proyek untuk event tersebut.

    3. Klik nama Logstore, lalu gunakan pemilih rentang waktu di atas editor kueri untuk menetapkan rentang waktu.

    4. Di editor kueri, masukkan kueri berikut.

      __topic__: actiontrail_audit_event and event.serviceName:<TargetServiceName> and event.eventName:<TargetEventName> | select t, diff[1] as current, diff[2] as last_month, diff[3] as percentage from(select t, compare( pv , 2592000) as diff from (select count(1) as pv, date_format(from_unixtime(__time__), '%m') as t from log group by t) group by t order by t)

      Catatan

      Ganti <TargetServiceName> dengan ECS dan <TargetEventName> dengan CreateInstance. Kueri ini mengembalikan jumlah instance ECS yang dibuat setiap bulan, menampilkan laju pertumbuhan bulan ke bulan.

    5. Klik Search & Analyze untuk melihat hasilnya.

    6. Di bagian bawah halaman, klik tab Chart.

    7. Di area General Configurations di sisi kanan tab, pilih Chart Types > image.png dari daftar jenis grafik.

    Gunakan kueri serupa untuk operasi lainnya. Menganalisis pola panggilan membantu mengidentifikasi waktu puncak dan meningkatkan pemanfaatan sumber daya.

    Konfigurasi peringatan anomali

    Konfigurasi peringatan ketika volume akses harian suatu layanan melebihi rata-rata 60 hari sebelumnya dalam persentase tertentu. Anda juga dapat menambahkan grafik kustom untuk pemantauan waktu nyata. Tambahkan grafik ke Dasbor.

    1. Masuk ke Konsol Simple Log Service.

    2. Pada tab Projects, temukan Projects, dan klik nama proyek untuk event tersebut.

    3. Kueri trafik rata-rata 60 hari dan trafik waktu nyata hari ini untuk setiap layanan cloud.

      1. Klik nama Logstore, lalu gunakan pemilih rentang waktu di atas editor kueri.

      2. Di area Select Time, klik Custom dan tetapkan rentang waktu menjadi 60 hari terakhir.

      3. Di editor kueri, masukkan kueri berikut.

        __topic__: actiontrail_audit_event |select a.serviceName, a.avg_pv, b.today_pv from (select serviceName, avg(pv) as avg_pv from (select "event.serviceName" as serviceName, count(1) as pv, date_format(from_unixtime(__time__), '%m-%d') as day from log group by serviceName, day) group by serviceName) a join (select "event.serviceName" as serviceName, count(1) as today_pv from log where date_format(from_unixtime(__time__), '%Y-%m-%d')=current_date group by serviceName) b on a.serviceName = b.serviceName

      4. Klik Search & Analyze untuk melihat hasilnya.

      5. Di bagian bawah halaman, klik tab Chart.

      6. Di area General Configurations di sisi kanan tab, pilih Chart Types > image.png dari daftar jenis grafik.

        Catatan

        Tambahkan kondisi filter untuk mengecualikan layanan atau event yang tidak diinginkan.

    4. Siapkan peringatan.

      1. Di pojok kanan atas grafik, klik ikon image.png.

      2. Di panel Alert Monitoring Rule, konfigurasikan parameter.

      3. Konfigurasikan kondisi pemicu.

        $0.today_pv > $0.avg_pv && ($0.today_pv - $0.avg_pv)/$0.avg_pv > 0.5

        Dalam ekspresi ini, $0 merepresentasikan data mentah grafik dari kueri, yang mencakup volume akses harian dan rata-rata 60 hari untuk setiap layanan. $0.avg_pv merepresentasikan volume akses rata-rata 60 hari untuk suatu layanan.

      4. Klik Confirm.

    Dokumentasi terkait