すべてのプロダクト
Search

このプロダクト

    ActionTrail:イベントのダウンロード

    ドキュメントセンター

    ActionTrail:イベントのダウンロード

    最終更新日:Jan 20, 2026

    デフォルトでは、ActionTrail は、ご利用の Alibaba Cloud アカウント内で過去 90 日間に生成されたイベントを記録します。ActionTrail コンソールではイベントのクエリはできますが、ダウンロードはできません。監査のために 180 日以上前に生成されたイベントをクエリする場合や、分析のためにイベントをオンプレミスデバイスにファイルとしてダウンロードする必要がある場合は、トレイルを作成してイベントを Simple Log Service (SLS) の Logstore または Object Storage Service (OSS) のバケットに配信し、その後イベントをオンプレミスデバイスにダウンロードする必要があります。

    背景情報

    このトピックでは、SLS コンソールでシングルアカウントトレイルによって配信されたイベントをダウンロードする方法について説明します。これを行うには、次の手順を実行します。

    1. ActionTrail コンソールでトレイルを作成し、イベントを SLS Logstore に継続的に配信します。

    2. オプション。ActionTrail コンソールでデータバックフィルタスクを作成し、ActionTrail で過去 90 日間に生成されたイベントを、トレイルで指定された SLS Logstore に一度に配信します。

    3. SLS コンソールでイベントをダウンロードします。SLS コンソールで特定のイベントをクエリし、ダウンロードできます。イベントをダウンロードするための複数のメソッドが提供されています。

      たとえば、次の SQL 文を実行して、管理イベントの中のすべての書き込みイベントに関する集約情報をクエリできます。

      説明

      長いクエリ時間範囲を指定する場合は、LIMIT N 句を使用して、返されるイベントの数を N に制限することを推奨します。たとえば、LIMIT 20 句を使用すると、システムは 20 件のイベントを返します。

      * AND "event.eventCategory": Management AND "event.eventRW": Write | SELECT"event.serviceName"AS servieName,"event.eventName"AS eventName,"event.eventRw"AS eventRw,"event.sourceIpAddress"AS sourceIpAddress,"event.resourceName"AS resourceName,"event.resourceType"AS resourceType,"event.userIdentity.userName"AS userName,"event.userIdentity.type"AS userType,"event.userIdentity.accessKeyId"AS accessKeyId,"event.acsRegion"AS eventRegion,COUNT("event.eventId")AS n, date_trunc('hour', __time__) AS time GROUP BY time, servieName, eventName, eventRw, sourceIpAddress, resourceType, resourceName, accessKeyId, userType, userName, eventRegion ORDER BY time DESC LIMIT 20

      次の図にクエリ結果を示します。n 列の各値は、イベントが集約された回数を示します。

      image.png

    ステップ 1: トレイルを作成して Simple Log Service Logstore にイベントを配信

    1. ActionTrail コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[Trails] をクリックします。

    3. 上部のナビゲーションバーで、シングルアカウントトレイルを作成するリージョンを選択します。

      説明

      選択したリージョンが、作成するトレイルのホームリージョンになります。

    4. [Trails] ページで、[Create Trail] をクリックします。

    5. [Create Trail] ページで、パラメーターを設定します。

      • [Basic Information] セクションで、トレイルの基本情報を設定します。

        説明

        デフォルトでは、トレイルはすべてのリージョンのイベントを配信します。[Management Event][All] に設定することを推奨します。これにより、トレイルはすべてのリージョンで発生するすべてのタイプのイベントを配信します。詳細については、「シングルアカウントトレイルの作成」をご参照ください。

      • [Event Delivery] セクションで、現在の Alibaba Cloud アカウント内の SLS にイベントを配信するためのパラメーターを設定します。

        パラメーター

        説明

        Logstore のリージョン

        Logstore が存在するリージョン。

        プロジェクト名

        プロジェクトの名前。

        説明

        プロジェクト名はすべての Alibaba Cloud ユーザーで共有され、一意である必要があります。

        • 新しい Log Service プロジェクト を選択すると、システムは自動的にプロジェクトを作成します。プロジェクトの名前を指定する必要があります。システムはまた、プロジェクトの Logstore を自動的に作成します。

        • 既存の Log Service プロジェクト を選択した場合は、[Project Name] ドロップダウンリストから既存のプロジェクトを選択する必要があります。

          SLS でプロジェクトを作成する方法の詳細については、「スタートガイド」をご参照ください。

    6. [Confirm] をクリックします。

    ステップ 2: (オプション) データバックフィルタスクの作成

    トレイルは、作成後に生成されたイベントのみを配信できます。過去 90 日間に生成されたイベントをダウンロードしたい場合は、データバックフィルタスクを作成してイベントを配信する必要があります。

    説明

    データバックフィルタスクを作成するには、バックフィル機能を使用する権限を取得するためにチケットを送信してください。

    1. 左側のナビゲーションウィンドウで、[Backfill] をクリックします。

    2. 上部のナビゲーションバーで、データバックフィルタスクを作成するリージョンを選択します。

      説明

      リージョンは、作成されたシングルアカウントトレイルが存在するリージョンと同じである必要があります。

    3. [Backfill] ページで、タスクの作成 をクリックします。

    4. タスクの作成 ページで、データバックフィルタスクを作成するシングルアカウントトレイルを選択します。

      説明

      トレイルを選択すると、次の情報が自動的に入力されます:トレイルがイベントを配信するリージョン、SLS プロジェクトが存在するリージョン、SLS プロジェクトの名前、および SLS Logstore に関する情報。

    5. 決定 をクリックします。

      データバックフィルタスクを作成した後、[Backfill] ページのタスクの [Delivery Status] を表示して、イベントが配信されたかどうかを確認できます。

    ステップ 3: Simple Log Service コンソールでのイベントのダウンロード

    SLS コンソールで特定の時間範囲内に生成されたイベントをクエリし、ダウンロードできます。クエリで複数のイベントが返された場合、SLS では後で使用するためにそれらを単一のファイルにダウンロードできます。

    1. ActionTrail コンソールで、トレイルで指定された Logstore に移動します。

      1. 左側のナビゲーションウィンドウで、[Trails] をクリックします。

      2. 上部のナビゲーションバーで、シングルアカウントトレイルとデータバックフィルタスクのリージョンを選択します。

      3. [Trails] ページで、トレイルを見つけ、[Storage Service] 列の [SLS] または [SLS & OSS] にポインターを合わせます。次に、SLS Logstore の名前をクリックします。

    2. SLS コンソールで、右上隅にある [15 Minutes] をクリックします。表示されるタイムピッカーで、イベントをクエリする時間範囲を指定します。たとえば、[Today] を選択できます。

    3. クエリ文を入力し、[Search & Analyze] をクリックします。

      クエリ文の設定方法の詳細については、「SQL 文を使用した Simple Log Service での ActionTrail イベントのクエリ」をご参照ください。

    4. イベントをダウンロードします。

      • メソッド 1: フィールド別に分類されたイベント統計をダウンロードします。

        [Graph] タブで、图表 アイコンをクリックし、[Download Log] をクリックします。

      • メソッド 2: イベントコードファイルをダウンロードします。

        [Raw Logs] タブで、下载 アイコンをクリックします。

    5. [Log Download] ダイアログボックスで、ダウンロードメソッドを選択し、[OK] をクリックします。

      • [Download]:イベントを CSV (カンマ区切り値) 形式のファイルにダウンロードします。

      • [Download with Cloud Shell]:プロンプトに従ってすべてのイベントをダウンロードします。

        説明

        Cloud Shell サーバーは中国 (上海) リージョンにあります。中国 (上海) リージョンにない Logstore からログをダウンロードする場合、インターネット経由のデータ転送トラフィックに対して課金されます。料金の詳細については、料金をご参照ください。

      • コマンドラインツールを使用してすべてのログをダウンロード: プロンプトに従ってすべてのイベントをダウンロードします。

        説明

        • コマンドラインツールを使用してイベントをダウンロードする場合は、コマンドで実際の AccessKey ID と AccessKey Secret を指定する必要があります。Alibaba Cloud アカウントを使用してイベントをダウンロードする場合は、ユーザー管理コンソールにログインして、Alibaba Cloud アカウントの AccessKey ペアを取得します。Resource Access Management (RAM) ユーザーを使用してイベントをダウンロードする場合は、RAM コンソールにログインして RAM ユーザーを作成し、RAM ユーザーの AccessKey ペアを取得します。

        • コマンドラインツールがインストールされているホストが現在の SLS プロジェクトと同じリージョンにある場合は、[Switch to Internal Endpoint] をクリックすることを推奨します。内部ネットワークはより高速なダウンロード速度を提供し、インターネットトラフィックの料金は発生しません。

    関連ドキュメント

    イベント詳細のダウンロード方法の詳細については、「ログのダウンロード」をご参照ください。