ActionTrail：Gunakan Layanan Log Sederhana untuk menganalisis peristiwa

Skenario 1: Analisis apakah pasangan AccessKey Anda terungkap

Perusahaan Anda mendeteksi penggunaan tidak sah pasangan AccessKey dari alamat IP eksternal. Untuk mengetahui apakah pasangan AccessKey tersebut terungkap, buat jejak di konsol ActionTrail dan kirimkan peristiwa ke Layanan Log Sederhana. Kemudian, analisis dan lacak penggunaan pasangan AccessKey di konsol Layanan Log Sederhana.

Anda dapat memperoleh alamat IP sumber permintaan akses tidak sah. Jika alamat IP tersebut tidak berada di kota tempat perusahaan Anda berada, pasangan AccessKey tersebut terungkap.

1. Masuk ke Konsol Simple Log Service.

2. Pada tab All Projects, di bagian Project List, klik nama proyek untuk melihat peristiwa manajemennya.

3. Klik nama Logstore, lalu klik pemilih rentang waktu di atas editor kueri untuk menentukan rentang waktu.

4. Di kotak pencarian, masukkan pernyataan pencarian berikut.

   __topic__: actiontrail_audit_event and event.userIdentity.accessKeyId:<YourAccessKeyId> | SELECT count(1) as pv, city FROM (SELECT "event.sourceIpAddress" AS ip, ip_to_city("event.sourceIpAddress") as city FROM log) WHERE ip_to_domain(ip)!='intranet' GROUP BY city ORDER BY pv DESC

   Catatan

   • Ganti <YourAccessKeyId> dengan ID AccessKey Anda.

   • Pernyataan penanyakan di atas mengembalikan alamat IP sumber permintaan akses tidak sah yang menggunakan pasangan AccessKey beserta frekuensinya. Jika alamat IP tersebut tidak berada di kota tempat perusahaan Anda berada, pasangan AccessKey tersebut terungkap.

5. Klik Search & Analyze untuk melihat hasil penanyakan.

6. Opsional. Jika pasangan AccessKey terungkap, ubah izin pengguna RAM untuk menyelesaikan masalah.

   Untuk informasi lebih lanjut, lihat Cabut Izin dari Pengguna RAM.

Skenario 2: Lacak penghapusan instance ECS Anda

Perusahaan Anda ingin melacak operasi berisiko tinggi pada sumber daya Alibaba Cloud, seperti penghapusan instance Elastic Compute Service (ECS). Dalam kasus ini, buat jejak di konsol ActionTrail untuk mengirimkan peristiwa ke Layanan Log Sederhana. Kemudian, peroleh informasi tentang pengguna yang menghapus instance ECS Anda.

1. Masuk ke Konsol Simple Log Service.

2. Pada tab All Projects, di bagian Project List, klik nama proyek untuk mengakses peristiwa manajemennya.

3. Klik nama Logstore, lalu klik pemilih rentang waktu di atas editor kueri untuk menentukan rentang waktu.

4. Di kotak pencarian, masukkan pernyataan pencarian berikut.

   __topic__: actiontrail_audit_event | SELECT serviceName, eventName, userName, count(1) as pv FROM (SELECT "event.eventName" as eventName, "event.serviceName" as serviceName, "event.userIdentity.userName" as userName FROM log) WHERE (serviceName = <TargetServiceName> and eventName = <TargetEventName>) GROUP BY serviceName, eventName, userName

   Catatan

   Anda dapat mengatur <TargetServiceName> ke ECS dan <TargetEventName> ke DeleteInstances untuk mengidentifikasi operator yang menghapus Instance ECS.

5. Klik Search & Analyze untuk melihat hasil penanyaan.

   Pernyataan penanyaan di atas mengembalikan informasi tentang pengguna yang menghapus instance ECS dan jumlah operasi penghapusan. Setelah memperoleh informasi tentang operasi penghapusan tidak sah, gunakan pernyataan penanyaan berikut untuk menanyakan detail operasi:

   __topic__: actiontrail_audit_event and event.serviceName:<TargetServiceName> and <TargetResourceId> and event.userIdentity.accessKeyId:<YourAccessKeyId>

Skenario 3: Hasilkan laporan data untuk sumber daya cloud Anda

Saat bisnis berbasis cloud perusahaan Anda berkembang pesat, perusahaan Anda memerlukan laporan data komprehensif tentang frekuensi penggunaan sumber daya cloud inti. Laporan ini membantu memperkirakan jumlah sumber daya yang akan dibeli dan mencegah risiko potensial.

Sebagai contoh, perusahaan Anda memerlukan laporan data tentang instance ECS yang dibuat dalam enam bulan terakhir untuk menganalisis peningkatan tahun-ke-tahun dan bulan-ke-bulan dari instance ECS. Laporan ini membantu memperkirakan jumlah instance ECS yang akan dibeli dalam enam bulan ke depan serta mengendalikan biaya.

1. Masuk ke Konsol Simple Log Service.

2. Pada tab All Projects, di bagian Project List, klik nama proyek untuk melihat peristiwa manajemennya.

3. Klik nama Logstore, lalu klik pemilih rentang waktu di atas editor kueri untuk menentukan rentang waktu.

4. Di kotak pencarian, masukkan pernyataan pencarian berikut.

   __topic__: actiontrail_audit_event and event.serviceName:<TargetServiceName> and event.eventName:<TargetEventName> | select t, diff[1] as current, diff[2] as last_month, diff[3] as percentage from(select t, compare( pv , 2592000) as diff from (select count(1) as pv, date_format(from_unixtime(__time__), '%m') as t from log group by t) group by t order by t)

   Catatan

   Anda dapat mengatur variabel <TargetServiceName> dan <TargetEventName> menjadi ECS dan CreateInstance untuk mengambil jumlah Instance ECS yang dibuat setiap bulan dan melihat laju pertumbuhan bulan-ke-bulan.

5. Klik Search & Analyze untuk melihat hasil penanyaan.

6. Klik tab Graph.

7. Klik tab Common Settings di sebelah kanan dan pilih Chart Types > .

Anda juga dapat menggunakan metode ini untuk menghasilkan laporan data untuk operasi berisiko tinggi tertentu. Metode ini membantu menganalisis pola operasi, waktu puncak, dan lembahnya, serta mengoptimalkan pemanfaatan sumber daya cloud.

Skenario 4: Pemantauan dan Peringatan Anomali

Perusahaan Anda ingin menerima pemberitahuan peringatan ketika jumlah permintaan akses harian ke sumber daya Alibaba Cloud melebihi rata-rata jumlah permintaan akses dalam 60 hari terakhir sebesar proporsi tertentu. Dalam kasus ini, Anda dapat membuat aturan peringatan menggunakan modul Dasbor di konsol Simple Log Service untuk memantau status setiap layanan cloud secara waktu nyata. Anda juga dapat menambahkan grafik kustom ke modul Dasbor untuk pemantauan waktu nyata. Untuk informasi selengkapnya, lihat Tambahkan grafik ke dasbor.

1. Masuk ke Konsol Simple Log Service.

2. Pada tab All Projects, di bagian Project List, klik nama proyek untuk peristiwa manajemennya.

3. Tanyakan rata-rata jumlah permintaan akses yang dikirimkan ke setiap layanan Alibaba Cloud dalam 60 hari terakhir dan jumlah permintaan akses pada hari saat ini.

   1. Klik nama Logstore, lalu klik pemilih rentang waktu di atas editor kueri.

   2. Di bagian Time Range, klik Custom dan atur rentang waktu menjadi 60 hari terakhir.

   3. Di kotak pencarian, masukkan pernyataan pencarian berikut.

      __topic__: actiontrail_audit_event |select a.serviceName, a.avg_pv, b.today_pv from (select serviceName, avg(pv) as avg_pv from (select "event.serviceName" as serviceName, count(1) as pv, date_format(from_unixtime(__time__), '%m-%d') as day from log group by serviceName, day) group by serviceName) a join (select "event.serviceName" as serviceName, count(1) as today_pv from log where date_format(from_unixtime(__time__), '%Y-%m-%d')=current_date group by serviceName) b on a.serviceName = b.serviceName

   4. Klik Search & Analyze untuk melihat hasil penanyaan.

   5. Klik tab Graph.

   6. Klik tab Common Settings di sebelah kanan dan pilih Chart Types > .

      Catatan

      Anda dapat menambahkan kondisi filter untuk mengecualikan layanan atau peristiwa Alibaba Cloud yang tidak ingin Anda lihat.

4. Buat aturan peringatan.

   1. Klik ikon di pojok kanan atas.

   2. Di panel Alert Monitoring Rule, konfigurasikan parameter.

      Untuk informasi lebih lanjut, lihat Konfigurasikan Aturan Peringatan.

   3. Konfigurasikan kondisi yang memicu peringatan.

      $0.today_pv > $0.avg_pv && ($0.today_pv - $0.avg_pv)/$0.avg_pv > 0.5

      $0 merepresentasikan data grafik mentah yang terkait dengan pernyataan pencarian pertama. Ini mencakup jumlah akses harian dan rata-rata akses 60 hari untuk setiap layanan Alibaba Cloud. $0.avg_pv merepresentasikan rata-rata jumlah akses selama 60 hari untuk layanan tersebut.

   4. Klik OK.

Referensi

• Panduan Cepat Kueri dan Analisis

• FAQ tentang Penanyaan dan Analisis