ActionTrail:Simple Log Service を使用したイベントの分析

シナリオ 1: AccessKey ペアが漏洩したかどうかの分析

企業が、外部 IP アドレスからの AccessKey ペアの不正使用を検出しました。AccessKey ペアが漏洩したかどうかを知りたいとします。この場合、ActionTrail コンソールでトレイルを作成して、イベントを Simple Log Service に配信できます。その後、Simple Log Service コンソールで AccessKey ペアの使用状況を分析および追跡できます。

不正なアクセスリクエストのソース IP アドレスを取得できます。IP アドレスが企業の所在都市にない場合、AccessKey ペアは漏洩しています。

1. Simple Log Service コンソールにログインします。

2. [All Projects] タブの [Project List] セクションで、プロジェクト名をクリックして管理イベントを表示します。

3. Logstore の名前をクリックします。次に、クエリエディターの上にある時間範囲ピッカーをクリックして、時間範囲を指定します。

4. 検索ボックスに、次の検索文を入力します。

   __topic__: actiontrail_audit_event and event.userIdentity.accessKeyId:<YourAccessKeyId> | SELECT count(1) as pv, city FROM (SELECT "event.sourceIpAddress" AS ip, ip_to_city("event.sourceIpAddress") as city FROM log) WHERE ip_to_domain(ip)!='intranet' GROUP BY city ORDER BY pv DESC

   説明

   • <YourAccessKeyId> を実際の AccessKey ID に置き換えます。

   • 上記のクエリ文は、AccessKey ペアを使用する不正なアクセスリクエストのソース IP アドレスとそのようなリクエストの周波数を返します。IP アドレスが企業の所在都市にない場合、AccessKey ペアは漏洩しています。

5. [Search & Analyze] をクリックしてクエリ結果を表示します。

6. オプション。AccessKey ペアが漏洩した場合は、RAM ユーザーの権限を変更して問題を解決します。

   詳細については、「RAM ユーザーから権限を取り消す」をご参照ください。

シナリオ 2: ECS インスタンスの削除の追跡

企業が、Elastic Compute Service (ECS) インスタンスの削除など、Alibaba Cloud リソースで実行されるリスクの高い操作を追跡したいとします。この場合、ActionTrail コンソールでトレイルを作成して、イベントを Simple Log Service に配信できます。その後、ECS インスタンスを削除したユーザーに関する情報を取得できます。

1. Simple Log Service コンソールにログインします。

2. [All Projects] タブの [Project List] セクションで、プロジェクト名をクリックして管理イベントにアクセスします。

3. Logstore の名前をクリックします。次に、クエリエディターの上にある時間範囲ピッカーをクリックして、時間範囲を指定します。

4. 検索ボックスに、次の検索文を入力します。

   __topic__: actiontrail_audit_event | SELECT serviceName, eventName, userName, count(1) as pv FROM (SELECT "event.eventName" as eventName, "event.serviceName" as serviceName, "event.userIdentity.userName" as userName FROM log) WHERE (serviceName = <TargetServiceName> and eventName = <TargetEventName>) GROUP BY serviceName, eventName, userName

   説明

   <TargetServiceName> を ECS に、<TargetEventName> を DeleteInstances に設定して、ECS インスタンスを削除したオペレーターを特定できます。

5. [Search & Analyze] をクリックしてクエリ結果を表示します。

   上記のクエリ文は、ECS インスタンスを削除したユーザーに関する情報と削除操作の数を返します。不正な削除操作に関する情報を取得した後、次のクエリ文を使用して操作の詳細をクエリできます。

   __topic__: actiontrail_audit_event and event.serviceName:<TargetServiceName> and <TargetResourceId> and event.userIdentity.accessKeyId:<YourAccessKeyId>

シナリオ 3: クラウドリソースのデータレポートの生成

企業がクラウドベースのビジネスを急速に発展させるにつれて、コアクラウドリソースの使用周波数に関する包括的なデータレポートが必要になります。企業はデータレポートを使用して、購入するリソースの量を推定し、潜在的なリスクを防ぐことができます。

たとえば、企業は、ECS インスタンスの前年比および前月比の増加を分析するために、過去 6 か月間に作成した ECS インスタンスに関するデータレポートを必要とします。その後、企業は今後 6 か月間に購入する ECS インスタンスの数を見積もることができます。このデータレポートは、企業がコストを管理するのに役立ちます。

1. Simple Log Service コンソールにログインします。

2. [All Projects] タブの [Project List] セクションで、プロジェクト名をクリックして管理イベントを表示します。

3. Logstore の名前をクリックします。次に、クエリエディターの上にある時間範囲ピッカーをクリックして、時間範囲を指定します。

4. 検索ボックスに、次の検索文を入力します。

   __topic__: actiontrail_audit_event and event.serviceName:<TargetServiceName> and event.eventName:<TargetEventName> | select t, diff[1] as current, diff[2] as last_month, diff[3] as percentage from(select t, compare( pv , 2592000) as diff from (select count(1) as pv, date_format(from_unixtime(__time__), '%m') as t from log group by t) group by t order by t)

   説明

   <TargetServiceName> および <TargetEventName> 変数を ECS および CreateInstance に設定して、毎月作成される ECS インスタンスの数を取得し、前月比の成長率を表示できます。

5. [Search & Analyze] をクリックしてクエリ結果を表示します。

6. [Graph] タブをクリックします。

7. 右側の [Common Settings] タブをクリックし、[Chart Types] > を選択します。

このメソッドを使用して、特定のリスクの高い操作のデータレポートを生成することもできます。その後、これらの操作のパターンと、これらの操作のピーク時とオフピーク時を分析できます。このメソッドは、クラウドリソースを最適化し、リソース使用率を向上させるのに役立ちます。

シナリオ 4: 異常モニタリングとアラート

企業が、Alibaba Cloud リソースへの 1 日のアクセスリクエスト数が過去 60 日間の平均アクセスリクエスト数を指定の割合で超えたときにアラート通知を受信したいとします。この場合、Simple Log Service コンソールのダッシュボードモジュールを使用してアラートルールを作成し、各クラウドサービスのステータスをリアルタイムでモニターできます。リアルタイムモニタリングのために、ダッシュボードモジュールにカスタムチャートを追加することもできます。詳細については、「ダッシュボードにチャートを追加する」をご参照ください。

1. Simple Log Service コンソールにログインします。

2. [All Projects] タブの [Project List] セクションで、管理イベントのプロジェクト名をクリックします。

3. 過去 60 日間に各 Alibaba Cloud サービスに送信されたアクセスリクエストの平均数と、当日のアクセスリクエスト数をクエリします。

   1. Logstore の名前をクリックし、クエリエディターの上にある時間範囲ピッカーをクリックします。

   2. [Time Range] セクションで、[Custom] をクリックし、時間範囲を過去 60 日間に設定します。

   3. 検索ボックスに、次の検索文を入力します。

      __topic__: actiontrail_audit_event |select a.serviceName, a.avg_pv, b.today_pv from (select serviceName, avg(pv) as avg_pv from (select "event.serviceName" as serviceName, count(1) as pv, date_format(from_unixtime(__time__), '%m-%d') as day from log group by serviceName, day) group by serviceName) a join (select "event.serviceName" as serviceName, count(1) as today_pv from log where date_format(from_unixtime(__time__), '%Y-%m-%d')=current_date group by serviceName) b on a.serviceName = b.serviceName

   4. [Search & Analyze] をクリックしてクエリ結果を表示します。

   5. [Graph] タブをクリックします。

   6. 右側の [Common Settings] タブをクリックし、[Chart Types] > を選択します。

      説明

      フィルター条件を追加して、表示したくない Alibaba Cloud サービスまたはイベントを除外できます。

4. アラートルールを作成します。

   1. 右上隅の アイコンをクリックします。

   2. [Alert Monitoring Rule] パネルで、パラメーターを設定します。

      詳細については、「アラートルールを設定する」をご参照ください。

   3. アラートをトリガーする条件を設定します。

      $0.today_pv > $0.avg_pv && ($0.today_pv - $0.avg_pv)/$0.avg_pv > 0.5

      $0 は、最初の検索文に関連付けられた生のチャートデータを表します。これには、各 Alibaba Cloud サービスの 1 日のアクセス数と 60 日間の平均アクセス数が含まれます。$0.avg_pv は、サービスの 60 日間の平均アクセス数を表します。

   4. [OK] をクリックします。

参考

• クエリと分析のクイックスタート

• クエリと分析に関するよくある質問