ActionTrailは、Alibaba Cloudアカウント内の操作を監視し、過去90日間に生成されたイベントを記録するのに役立ちます。 90日以上前に生成されたイベントを分析する場合は、ActionTrailコンソールでトレイルを作成し、指定されたLog Service Logstoreにイベントを配信できます。 次に、SQL文を使用して、配信されたイベントを照会および分析できます。 このトピックでは、SQL文を記述してLog Serviceのイベントを照会する方法について説明します。
SQL文の構文
SQL文の形式は、<Search statement> | <Analytic statement> です。
ActionTrailを使用すると、SQL文を使用してさまざまなシナリオのイベントを照会できます。 次の表に、さまざまなシナリオでイベントのクエリに使用できる検索ステートメントと分析ステートメントを示します。
シナリオ | サンプル検索文 | 分析ステートメントのサンプル |
イベントクエリ | 読み書きタイプ別にイベントを照会する: * AND "event.eventCategory": Management AND "event.eventRW": write ユーザー名でイベントを照会する: * AND "event.eventCategory": 管理と "event.userIdentity.us erName": "xxx" イベント名でイベントを照会する: * AND "event.eventCategory": Management AND "event.eventName": "DescribeScalingGroups" リソースタイプ別にイベントを照会する: * AND "event.eventCategory": Management AND "event.resourceType": "ACS::ECS::Instance" リソース名でイベントを照会する: * AND "event.eventCategory": Management AND "event.resourceName": "i-xxx" Alibaba Cloudサービス名でイベントを照会する: * AND "event.eventCategory": Management AND "event.serviceName": "Ecs" AccessKey IDによるイベントのクエリ: * AND "event.eventCategory": Management "event.us erIdentity.accessKeyId": "STS.xxxx"
| 、acsRegionとして "event.acsRegion" 、apiVersionとして "event.apiVersion" 、eventIdとして "event.eventId" 、eventNameとして "event.eventRW" 、eventSourceとして "event.eventSource" 、eventSourceとして "、from_Version. apiVersion. apiVersion (___) 、eventas" event. 「event.errorCode」はerrorCode、「event.errorMessage」はerrorMessage、「event.requestId」はrequestId、「event.requestParameterJson」はrequestParameterJson、「event.resourceName」はresourceName、「event.resourceType」はresourceType、「event. serviceAddress」は、「event.us。エージェントID」、「KeycesoursecessoursoursoursoursourId」 "event.us erIdentity.accountId" をaccontIdとして、"event.us erIdentity.principalId" をprincipalIdとして、"event.us erIdentity.type" をtypeとして、"event.userIdentity.us erName" をuserNameとして
|
イベント概要クエリ | 読み書きタイプ別にイベントの概要を照会します。* AND "event.eventCategory": Management AND "event.eventRW": write クエリイベントの概要イベント名: * AND "event.eventCategory": Management AND "event.eventName": "DescribeScalingGroups" Alibaba Cloudサービス名でイベントの概要を照会する: * AND "event.eventCategory": Management AND "event.serviceName": "Ecs" AccessKey ID: * AND "event.eventCategory": Management "event.us erIdentity.accessKeyId": "STS.xxxx"
| SELECT "event.serviceName" AS servieName、"event.eventName" AS eventName、"event.eventRw" AS eventRw "event.sourceIpAddress" AS sourceIpAddress "event.resourceName" AS resourceType "AS resourceType" event.userIdentity.us erName "AS accesssタイプ" event.us KeyerId. AS ID、"" event.acsRegion "AS eventRegion,COUNT(" event.eventId ")AS n, date_trunc('hour', _time__) AS time GROUP BY time, servieName, eventName, eventRw, sourceIpAddress, resourceType, resourceName, accessKeyId, userType, userName, eventRegion ORDER BY時間DESC 20
|
Insightイベントクエリ | 珍しいIPアドレスによるインサイトイベントのクエリ * AND "event.eventCategory": insight AND event.insightDetails.insightType: IpInsight AND "event.insightDetails.sourceIpAddress": "10.12.XX.XX" イベントタイプ別にインサイトイベントを照会する: * AND "event.eventCategory": insight AND event.insightDetails.insightType: IpInsight イベントIDでインサイトイベントを照会する: * AND "event.eventCategory": insight AND event.insightDetails.insightType: IpInsight AND "event.eventId": 6CE5DBDE-5D18-4BF9-BD6A-E0D2E1BA ****
| from_unixtime(__time__) をeventTime、"event.acsRegion" をeventRegion、"event.insightDetails.sourceIpAddress" をsourceIpAddress、"event.insightDetails.insightContext.statistics.insightCount" をcount
|
SQL文の例
例1: 書き込みタイプのすべての管理イベントの照会
* AND "event.eventCategory": Management AND "event.eventRW": 書き込み | "event.acsRegion" をacsRegionとして、"event.apiVersion" をapiVersionとして、"event.eventId" をeventIdとして、"event.eventName" をeventRW "として、" event. event___time_Source、「event.eventType」はeventType、「event.eventVersion」はeventVersion、「event.errorCode」はerrorMessage、「event.errorMessage」はerrorMessage、「event.requestId」はrequestId、「event.requestParameterJson」はrequestService. resourceJsonとして、「event. resourceAddress. ressourceJson」は、「IpourceService. Name」、「Ipourcourcoursourcourcourcourcoursoursour「event.us」をuserAgentとして、「erIdentity.accessKeyId」をevent.us、「erIdentity.accessKeyId」をevent.us、「erIdentity.accountId」をaccontIdとして、「erIdentity.principalId」をevent.us、「erIdentity.type」をtypeとして、「event.userIdentity.us erName」をuserNameとしてevent.us
例2: 書き込みタイプのすべての管理イベントのサマリを照会する
説明 長いクエリ時間範囲を指定する場合は、LIMIT N 句を使用して、返されるイベントの数を N に制限することをお勧めします。たとえば、LIMIT 20 句を使用すると、システムは 20 個のイベントを返します。
* AND "event.eventCategory": Management AND "event.eventRW": 書き込み | SELECT "event.serviceName" AS servieName、"event.eventName" AS eventName、"event.eventRw" AS eventRw、"event.sourceIpAddress" AS sourceName "、" event.resourceName "AS event.userIdentity.us" "event.us erIdentity.type" AS userType "、event.us erIdentity.accessKeyId" AS accessKeyId "AS accessKeyId、" event.acsRegion "AS eventRegion、COUNT(" event.eventId ")AS、date_trunc('hour' 、__time___) AS time GROUP BY time、servieSC、eventRw、sourceID、userName、
例3: IPInsight型のすべてのインサイトイベントのクエリ
* AND "event.eventCategory": Insight AND event.insightDetails.insightType: IpInsight | select from_unixtime(__time__) をeventTime、"event.acsRegion" をeventRegion、"event.insightDetails.sourceIpAddress" をsourceIpAddress、"event.insightDetails.insightContext.statistics. count