ActionTrail:ActionTrail を使用した RAM ユーザー作成の監視

アラートルールを作成する

1. ActionTrail コンソール にログインします。

2. 左側のナビゲーションウィンドウで、[イベントアラート]をクリックします。

3. [アラートルール] タブで、[アラート作成]をクリックし、プロンプトに従ってルールを設定します。

   以下のパラメーターに注意してください。他のパラメーターは必要に応じて設定します。

   設定項目	要件
   クエリ統計	Logstore を、「ステップ 1」で作成したトレイルの配信先 SLS Logstore と同じに設定します。フォーマットは actiontrail_トレイル名 です。 クエリ文を次のように設定します。 (event.serviceName:Ram or event.serviceName:Ims) and event.eventName:CreateUser | SELECT "event.userIdentity.principalId" as operator, "event.resourceName" as user, date_format(__time__, '%Y-%m-%d %H:%i:%s') as time 説明 上記のクエリ文は、event.serviceName フィールドで Alibaba Cloud サービスを、event.eventName フィールドで操作を指定して、RAM ユーザー作成イベントをクエリします。SELECT 文は、オペレーター、作成されたアカウント、操作時間などの情報をイベントから取得し、アラート通知に含めます。 ActionTrail がサポートする Alibaba Cloud サービスと操作の詳細については、「サポートされている Alibaba Cloud サービス」をご参照ください。 ActionTrail の管理イベントの構造の定義については、「管理イベントの構造」をご参照ください。 SLS クエリ構文の詳細については、「クエリ構文と関数」をご参照ください。
   トリガー条件	トリガー条件を「データあり」に設定します。 アラートの重要度は必要に応じて設定します。

4. [OK] をクリックします。

アラートコンテンツテンプレートの作成

1. 左側のナビゲーションウィンドウで、[イベントアラート] をクリックします。

2. [アラートセンター] ページで、[通知ポリシー] > [コンテンツテンプレート] を選択します。

3. [コンテンツテンプレート] 管理ページで、[作成] をクリックし、コンテンツテンプレートを設定します。

   コンテンツテンプレートの種類を「ショートメッセージ」に設定し、コンテンツを次のように設定します。

   Alibaba Cloud User: {{ alert.aliuid }}
   Alert Rule Name: {{ alert.alert_name }}
   Alert Severity: {{ alert.severity | format_severity }}
   {% for result in alert.fire_results %}
   Operator: {{ result.operator }} created RAM user: {{ result.user }} at {{ result.time }}
   {% endfor %}

   説明

   コンテンツテンプレートでは、{{ parameter_name }} はテンプレート変数を参照します。{% for result in alert.fire_results %} 文は、すべてのクエリ結果を反復処理します。{{ result.parameter_name }} を使用して、イベントから特定のパラメーターを取得します。コンテンツテンプレートのパラメーターと構文の詳細については、「コンテンツテンプレート構文 (新バージョン)」をご参照ください。

4. [確認] をクリックします。

アラート通知受信者の作成

1. 左側のナビゲーションウィンドウで、[イベントアラート] をクリックします。

2. [アラートセンター] ページで、[通知受信者] > [ユーザー管理] を選択します。

3. [ユーザー管理] ページで、[作成] をクリックします。[ユーザーの追加] パネルで、必要な情報を入力します。

   • [電話番号]：アラート情報を受信する携帯電話番号。アラートを受信するには、この設定を有効にする必要があります。

   • [有効化]：アラートを受信するには、これを有効にする必要があります。

4. [確認] ボタンをクリックします。

アクションポリシーを作成する

1. 左側のナビゲーションウィンドウで、[イベントアラート] をクリックします。

2. [アラートセンター] ページで、[通知ポリシー] > [アクションポリシー] に移動します。

3. [アクションポリシー] ページで、[作成] をクリックします。[アクションポリシーの追加] パネルで、必要な情報を入力します。

   最初のアクションリストで、条件とアクショングループを設定します。

   設定項目	要件
   条件設定	アイコンをクリックします。[条件] ダイアログボックスで、「アラートルールの作成」で作成した監視ルールを選択します。
   アクショングループ	チャネルを「ショートメッセージ」に設定します。 受信者を アラート連絡先を作成する で作成したユーザーに設定します。

4. [確認] をクリックします。

アラートの有効化とアクションポリシーの関連付け

1. 左側のナビゲーションウィンドウで、[イベントアラート] をクリックします。

2. [アラートセンター] ページで、アラート ルール タブをクリックします。

3. 「アラートルールの作成」ステップで作成したルールを見つけ、[操作] 列の [編集] をクリックします。[アラートおよび監視ルール] 設定パネルで、アラートを有効にし、アクションポリシーを関連付けます。

   設定項目	要件
   出力先	SLS 通知に切り替えます。
   有効	監視ルールのステータス。これを有効状態に切り替えます。
   アラートポリシー	ポリシータイプ：標準モードを選択します。 アクションポリシー：アクションポリシーを作成する で作成したアクションポリシーを選択します。

4. [確認] をクリックします。

RAM ユーザーが ActionTrail コンソールでトレイルを作成する際に「権限がありません」というエラーが表示される

RAM ユーザーを使用してこの設定を実行する場合、ActionTrail にアクセスして管理するために必要な権限を RAM ユーザーに付与する必要があります。詳細については、「RAM ユーザーへの権限付与」をご参照ください。