Lakukan kueri kustom di ActionTrail - ActionTrail

Jika Anda ingin mengkueri event yang dihasilkan lebih dari 90 hari lalu di beberapa wilayah, Anda dapat mengonfigurasi kondisi filter atau pernyataan SQL untuk melakukan kueri event kustom. Topik ini menjelaskan cara melakukan kueri event kustom di Konsol ActionTrail.

Prasyarat

Jejak telah dibuat dan event dikirimkan ke Simple Log Service. Untuk informasi selengkapnya, lihat Buat jejak akun tunggal atau Buat jejak multi-akun.

Skenario

Anda dapat melakukan kueri event kustom dalam mode kueri sederhana atau mode kueri SQL. Dalam mode kueri sederhana, Anda dapat mengkueri event secara visual. Dalam mode kueri SQL, Anda dapat mengkueri event berdasarkan pernyataan SQL yang dikonversi dari kondisi dalam mode kueri sederhana.

Mode	Metode kueri	Deskripsi	Contoh
Kueri sederhana	Kueri bersyarat tunggal	Anda dapat mengkueri event menggunakan kondisi filter seperti nama layanan, wilayah, nama event, jenis akun, jenis baca/tulis, nama sumber daya, jenis sumber daya, dan operator.	Untuk mengkueri semua event Key Management Service (KMS) dalam periode waktu tertentu, atur Service Name menjadi Key Management Service (Kms).
Kueri sederhana	Kueri multi-kondisi	Anda dapat menentukan beberapa layanan atau wilayah untuk satu layanan guna mengkueri event.	Untuk mengkueri event KMS yang dihasilkan di wilayah Tiongkok (Hangzhou) dan Tiongkok (Shanghai), atur Service Name menjadi Key Management Service (Kms) dan Region menjadi China (Hangzhou) dan China (Shanghai).
Kueri SQL	Kueri berbasis kata kunci	Anda dapat memasukkan kata kunci di kotak teks sesuai kebutuhan.	Untuk mengkueri semua peristiwa tulis, masukkan `* AND event.eventRW: Write` di kotak teks.
	Kueri bersyarat tunggal	Anda dapat menentukan kondisi filter dalam kategori Siapa, Apa, Mana, Di mana, atau Lainnya untuk mengkueri event.	Untuk mengkueri semua event KMS dalam periode waktu tertentu, masukkan `* AND event.serviceName: Kms` di kotak teks.
	Kueri multi-kondisi	Anda dapat menentukan beberapa kondisi filter dalam kategori Siapa, Apa, Mana, Di mana, dan Lainnya untuk mengkueri event.	Untuk mengkueri event yang dihasilkan dari operasi yang dilakukan oleh Pengguna Alex di ActionTrail, masukkan `* AND event.serviceName: Actiontrail AND event.userIdentity.userName: Alex` di kotak teks.
	Kueri berbasis operator NOT	Anda dapat menentukan beberapa kondisi filter dan mengubah operator di depan kondisi filter yang ingin Anda kecualikan menjadi NOT.	Untuk mengkueri event yang dihasilkan dari operasi yang dilakukan oleh semua pengguna kecuali Alex di ActionTrail, masukkan `* AND event.serviceName: Actiontrail NOT event.userIdentity.userName: Alex` di kotak teks.

Prosedur

Masuk ke Konsol ActionTrail.
Pada panel navigasi di sebelah kiri, pilih Events > Advanced Event Query.
Pada bagian Query Range, pilih jejak yang telah dibuat dari daftar drop-down Trail.
Pada tab Default di Custom Template, atur kondisi kueri event.
- Kueri sederhana
  Pada Simple Mode, konfigurasikan kondisi kueri sesuai petunjuk.
- Kueri SQL
  Matikan Simple Mode dan tentukan pernyataan SQL.
  Catatan
  - Untuk informasi selengkapnya tentang sintaks SQL untuk kueri event lanjutan dan contoh kueri, lihat Pernyataan SQL dalam kueri event lanjutan.
  - Jika mode kueri sederhana tidak memenuhi kebutuhan bisnis Anda, gunakan mode kueri SQL. Dalam hal ini, Anda dapat mengonfigurasi kondisi kueri sesuai petunjuk di Simple Mode, lalu matikan Simple Mode. Kondisi kueri yang telah dikonfigurasi di Simple Mode akan secara otomatis dikonversi menjadi pernyataan SQL. Selanjutnya, Anda dapat mengonfigurasi pernyataan SQL kustom.
Tentukan rentang waktu untuk mengkueri event dan klik Run.
Catatan
- Secara default, ActionTrail mengkueri event dalam rentang tujuh hari.
- Anda dapat mengklik Event Alert di sisi kanan tab untuk mengonfigurasi peringatan untuk event saat ini. Untuk informasi selengkapnya, lihat Buat aturan peringatan kustom.
- Anda dapat memodifikasi pernyataan SQL default dalam templat sistem dan mengklik Save untuk menyimpan templat tersebut sebagai templat kustom guna digunakan kembali dalam tugas-tugas berikutnya.
Lihat hasil kueri.
- Log mentah
  Pada tab Raw Log, temukan event yang ingin Anda lihat dan klik View Event Details pada kolom Actions untuk melihat informasi dasar dan format JSON dari event tersebut.
- Histogram
  Pada tab Query Histogram, lihat histogram event.

Referensi

Anda dapat menggunakan templat sistem untuk mengkueri event yang terkait dengan akun Alibaba Cloud atau AccessKey, praktik terbaik untuk keamanan jaringan dan data, atau siklus hidup sumber daya. Untuk informasi selengkapnya, lihat Kueri event yang terkait dengan akun Alibaba Cloud atau AccessKey, Kueri event yang terkait dengan praktik terbaik untuk keamanan jaringan dan data, dan Kueri event siklus hidup sumber daya.
Anda dapat mengkueri event yang dihasilkan lebih dari 90 hari lalu. Untuk informasi selengkapnya, lihat Kueri event di Konsol Simple Log Service atau OSS.