すべてのプロダクト
Search

このプロダクト

    ActionTrail:イベントのダウンロード

    ドキュメントセンター

    ActionTrail:イベントのダウンロード

    最終更新日:Jan 17, 2025

    デフォルトでは、ActionTrail は Alibaba Cloud アカウント内で過去 90 日間に生成されたイベントを記録します。ActionTrail コンソールでイベントをクエリすることはできますが、ダウンロードすることはできません。180 日以上前に生成されたイベントを監査のためにクエリする場合、または分析のためにオンプレミスデバイスにイベントをダウンロードする必要がある場合は、Simple Log Service Logstore または Object Storage Service (OSS) バケットにイベントを配信するトレイルを作成し、イベントをファイルとしてオンプレミスデバイスにダウンロードする必要があります。

    背景情報

    このトピックでは、Simple Log Service コンソールでシングルアカウントトレイルによって配信されたイベントをダウンロードする方法について説明します。これを行うには、次の手順を実行します。

    1. ActionTrail コンソールで、Simple Log Service Logstore にイベントを継続的に配信するトレイルを作成します。

    2. オプション。ActionTrail コンソールでデータバックフィルタスクを作成し、過去 90 日間に ActionTrail で生成されたイベントを、トレイルで指定された Simple Log Service Logstore に一度に配信します。

    3. Simple Log Service コンソールでイベントをダウンロードします。Simple Log Service コンソールで特定のイベントをクエリし、イベントをダウンロードできます。イベントをダウンロードするには、複数の方法が用意されています。

      たとえば、次の SQL 文を実行して、管理イベントの中ですべての書き込みイベントに関する集約情報をクエリできます。

      説明

      長いクエリ時間範囲を指定する場合は、LIMIT N 句を使用して、返されるイベントの数を N に制限することをお勧めします。たとえば、LIMIT 20 句を使用すると、システムは 20 個のイベントを返します。

      * AND "event.eventCategory": Management AND "event.eventRW": Write | SELECT"event.serviceName"AS servieName,"event.eventName"AS eventName,"event.eventRw"AS eventRw,"event.sourceIpAddress"AS sourceIpAddress,"event.resourceName"AS resourceName,"event.resourceType"AS resourceType,"event.userIdentity.userName"AS userName,"event.userIdentity.type"AS userType,"event.userIdentity.accessKeyId"AS accessKeyId,"event.acsRegion"AS eventRegion,COUNT("event.eventId")AS n, date_trunc('hour', __time__) AS time GROUP BY time, servieName, eventName, eventRw, sourceIpAddress, resourceType, resourceName, accessKeyId, userType, userName, eventRegion ORDER BY time DESC LIMIT 20

      次の図は、クエリ結果を示しています。n 列の各値は、イベントが集約された回数を示しています。

      image.png

    手順 1:Simple Log Service Logstore にイベントを配信するトレイルを作成する

    1. ActionTrail コンソール にログインします。

    2. 左側のナビゲーションウィンドウで、[トレイル] をクリックします。

    3. 上部のナビゲーションバーで、シングルアカウントトレイルを作成するリージョンを選択します。

      説明

      選択したリージョンは、作成するトレイルのホームリージョンになります。

    4. [トレイル] ページで、[トレイルの作成] をクリックします。

    5. [トレイルの作成] ページで、パラメーターを設定します。

      • [基本情報] セクションで、トレイルの基本情報を設定します。

        説明

        デフォルトでは、トレイルはすべてのリージョンでイベントを配信します。[管理イベント][すべて] に設定することをお勧めします。こうすることで、トレイルはすべてのリージョンで発生するすべてのタイプのイベントを配信します。詳細については、「シングルアカウントトレイルを作成する」をご参照ください。

      • [イベント配信] セクションで、現在の Alibaba Cloud アカウント内で Simple Log Service にイベントを配信するためのパラメーターを設定します。

        パラメーター

        説明

        Logstore のリージョン

        Logstore が存在するリージョン。

        プロジェクト名

        プロジェクトの名前。

        説明

        プロジェクト名はすべての Alibaba Cloud ユーザーで共有され、一意である必要があります。

        • 新しい Log Service プロジェクト を選択すると、システムは自動的にプロジェクトを作成します。プロジェクトの名前を指定する必要があります。システムはまた、プロジェクトの Logstore も自動的に作成します。

        • 既存の Log Service プロジェクト を選択すると、[プロジェクト名] ドロップダウンリストから既存のプロジェクトを選択する必要があります。

          Simple Log Service でプロジェクトを作成する方法の詳細については、「はじめに」をご参照ください。

    6. [確認] をクリックします。

    手順 2:(オプション)データバックフィルタスクを作成する

    トレイルは、トレイルの作成後に生成されたイベントのみを配信できます。過去 90 日間に生成されたイベントをダウンロードする場合は、イベントを配信するためのデータバックフィルタスクを作成する必要があります。

    説明

    データバックフィルタスクを作成するには、チケットを送信 し、バックフィル機能を使用するための権限を取得します。

    1. 左側のナビゲーションウィンドウで、[バックフィル] をクリックします。

    2. 上部のナビゲーションバーで、データバックフィルタスクを作成するリージョンを選択します。

      説明

      リージョンは、作成されたシングルアカウントトレイルが存在するリージョンと同じである必要があります。

    3. [バックフィル] ページで、タスクの作成 をクリックします。

    4. タスクの作成 ページで、データバックフィルタスクを作成するシングルアカウントトレイルを選択します。

      説明

      トレイルを選択すると、トレイルがイベントを配信するリージョン、Simple Log Service プロジェクトが存在するリージョン、Simple Log Service プロジェクトの名前、Simple Log Service Logstore に関する情報が自動的に入力されます。

    5. 決定 をクリックします。

      データバックフィルタスクを作成した後、[バックフィル] ページでタスクの [配信ステータス] を表示して、イベントが配信されているかどうかを確認できます。

    手順 3:Simple Log Service コンソールでイベントをダウンロードする

    Simple Log Service コンソールで特定の期間内に生成されたイベントをクエリし、イベントをダウンロードできます。クエリで複数のイベントが返された場合、Simple Log Service では、それらを 1 つのファイルにダウンロードして後で使用することができます。

    1. ActionTrail コンソールで、トレイルで指定された Logstore に移動します。

      1. 左側のナビゲーションウィンドウで、[トレイル] をクリックします。

      2. 上部のナビゲーションバーで、シングルアカウントトレイルとデータバックフィルタスクのリージョンを選択します。

      3. [トレイル] ページで、トレイルを見つけ、SLSSLS & OSS[ストレージサービス] 列の または にポインターを移動します。次に、Simple Log Service Logstore の名前をクリックします。

    2. Simple Log Service コンソールで、右上隅にある [15 分] をクリックします。表示されるタイムピッカーで、イベントをクエリする時間範囲を指定します。たとえば、[今日] を選択できます。

    3. クエリ文を入力し、[検索と分析] をクリックします。

    4. イベントをダウンロードします。

      • 方法 1:フィールド別に分類されたイベント統計をダウンロードします。

        [グラフ] タブで、图表 アイコンをクリックし、次に [ログのダウンロード] をクリックします。

      • 方法 2:イベントコードファイルをダウンロードします。

        [生のログ] タブで、下载 アイコンをクリックします。

    5. [ログのダウンロード] ダイアログボックスで、ダウンロード方法を選択し、[OK] をクリックします。

      • [ダウンロード]:イベントをカンマ区切り値(CSV)形式のファイルにダウンロードします。

      • [cloud Shell でダウンロード]:指示に従ってすべてのイベントをダウンロードします。

        説明

        Cloud Shell サーバーは、中国 (上海) リージョンにあります。中国 (上海) リージョンに存在しない Logstore からログをダウンロードする場合、インターネット経由のデータ転送トラフィックに対して課金されます。料金の詳細については、料金 を参照してください。

      • [コマンドラインツールを使用してすべてのログをダウンロード]:指示に従ってすべてのイベントをダウンロードします。

        説明

        • コマンドラインツールを使用してイベントをダウンロードする場合は、コマンドに実際の AccessKey ID と AccessKey シークレットを指定する必要があります。Alibaba Cloud アカウントを使用してイベントをダウンロードする場合は、ユーザー管理コンソール にログインして、Alibaba Cloud アカウントの AccessKey ペアを取得します。RAM ユーザーを使用してイベントをダウンロードする場合は、RAM コンソール にログインして RAM ユーザーを作成し、RAM ユーザーの AccessKey ペアを取得します。

        • コマンドラインツールがインストールされているホストが現在の Simple Log Service プロジェクトと同じリージョンに存在する場合は、[内部エンドポイントに切り替える] をクリックすることをお勧めします。内部ネットワークはより高速なダウンロード速度を提供し、インターネットトラフィックの料金は発生しません。

    関連情報

    イベントの詳細をダウンロードする方法の詳細については、「ログのダウンロード」をご参照ください。