Topik ini menggunakan kueri untuk event perubahan jejak audit sebagai contoh untuk menjelaskan cara menggunakan templat sistem ActionTrail guna mengambil dan melihat informasi log tentang event yang terkait dengan praktik terbaik keamanan jaringan dan data.
Prasyarat
Pastikan Anda telah membuat jejak dan mengirimkan event ke Simple Log Service (SLS). Untuk informasi selengkapnya, lihat Buat jejak akun tunggal dan Buat jejak multi-akun.
Informasi latar belakang
Mengikuti praktik terbaik keamanan jaringan dan data memungkinkan Anda memantau sumber daya Alibaba Cloud secara berkelanjutan dan dinamis, memperoleh informasi real-time mengenai status keamanan dan kepatuhannya, serta secara efektif mengurangi risiko keamanan jaringan.
Untuk membantu Anda mendeteksi operasi berisiko tinggi, ActionTrail menyediakan beberapa templat kueri berdasarkan praktik terbaik keamanan jaringan dan data. Anda dapat menggunakan fitur kueri acara lanjutan untuk memanggil templat ini secara cepat guna memantau dan mengaudit event akses berisiko tinggi. Event yang didukung mencakup perubahan jejak audit, penghentian jejak audit, perubahan Peran RAM, dan penonaktifan Cloud Firewall.
Prosedur
Masuk ke Konsol ActionTrail.
Pada panel navigasi di sebelah kiri, pilih .
Pada bagian Query Range, pilih jejak yang telah dibuat dari daftar drop-down Trail.
Pada tab Template Library di area Query Scope, pilih .
Pada tab Query for Change Events of an Audit Trail, tetapkan rentang waktu untuk kueri lalu klik Run.
CatatanSecara default, ActionTrail mengkueri event dalam rentang tujuh hari.
Anda dapat mengklik Event Alert di sisi kanan tab untuk mengonfigurasi peringatan untuk event saat ini. Untuk informasi selengkapnya, lihat Buat aturan peringatan kustom.
Anda dapat memodifikasi pernyataan SQL default dalam templat sistem dan mengklik Save untuk menyimpan templat tersebut sebagai templat kustom guna digunakan kembali dalam tugas selanjutnya.
Lihat hasil kueri.
Raw Logs
Pada tab Raw Logs, temukan event yang diinginkan lalu klik View Event Details pada kolom Actions untuk melihat informasi dasar dan catatan event tersebut.
CatatanPanel detail event menunjukkan bahwa Pengguna Resource Access Management (RAM) mengaktifkan jejak di Wilayah Tiongkok (Zhangjiakou) pada pukul 11:06:40 tanggal 10 Januari 2024.
Query Result Histogram
Pada tab Query Result Histogram, lihat histogram kemunculan event.
Referensi
Anda juga dapat mengkueri detail event dengan menetapkan kondisi filter atau menentukan pernyataan SQL. Untuk informasi selengkapnya, lihat Kueri kustom untuk event.