ActionTrail のイベントアラート機能は、クラウドリソース上の異常なアクティビティをリアルタイムで監視し、対応するのに役立ちます。 アラートルールが潜在的なセキュリティ脅威や非準拠の操作を検出すると、ActionTrail はさまざまなチャネルを通じて指定されたユーザーおよびユーザーグループに通知を送信します。 これにより、問題を迅速に処理し、クラウリソースのセキュリティと整合性を維持できます。 このトピックでは、イベントアラートを有効にして設定する方法について説明します。
前提条件
Simple Log Service (SLS) を有効化する必要があります。 初めて Simple Log Service を使用する場合は、Simple Log Service コンソールにログインし、プロンプトに従ってサービスを有効化します。 詳細については、「Simple Log Service とは」をご参照ください。
Simple Log Service を使用すると、ログストレージやショートメッセージ通知などのリソースに対して料金が発生します。 料金詳細と課金方法については、「課金の概要」をご参照ください。
ステップ 1: トレイルの作成
次の条件を満たすトレイルを作成します。
トレイルリージョン: すべてのリージョン。
イベントタイプ: すべての管理イベント。
読み取り/書き込みタイプ: すべてのイベント (読み取りおよび書き込み)。
ログの宛先: トレイルイベントを Simple Log Service (SLS) に配信します。
詳細については、「シングルアカウントトレイルの作成」および「マルチアカウントトレイルの作成」をご参照ください。
トレイルを作成する際に、過去 90 日間のイベントをトレイルにバックフィルするタスクも作成できます。 これにより、イベントの検索範囲が広がります。 詳細については、「データバックフィルタスクの作成」をご参照ください。
ステップ 2: イベント配信用の Logstore の選択
ActionTrail コンソールにログインします。
左側のナビゲーションウィンドウで、[イベント高度照会] をクリックします。 [クエリスコープ] セクションで、「ステップ 1: トレイルの作成」で作成したトレイルを選択します。
左側のナビゲーションウィンドウで、[イベントアラート] をクリックします。
[アラートおよびモニタリングシステム] ページで、[アラートルール] タブをクリックし、イベントが配信される Logstore を選択します。 Logstore の名前は actiontrail_トレイル名 の形式です。
ステップ 3: ユーザーとユーザーグループの作成
通知の受信者として機能するユーザーとユーザーグループを作成します。 たとえば、田中一郎と鈴木二郎という 2 人のユーザーと、ActionTrail 運用保守グループというユーザーグループを作成できます。 次に、田中一郎と鈴木二郎を ActionTrail 運用保守グループに追加します。
ActionTrail コンソールにログインします。
左側のナビゲーションウィンドウで、[イベントアラート] をクリックします。
ユーザーを作成します。
[アラートおよびモニタリングシステム] ページで、 を選択します。
[ユーザー管理] セクションで、[作成] をクリックします。
[ユーザーの追加] ダイアログボックスで、次のパラメーターを設定し、[確認] をクリックします。
ユーザー情報の例を次に示します。
# ID, 名前, 携帯電話番号, ショートメッセージの受信, 音声通話の受信, メールボックス, 有効化 test01,Kumer,true,86-1381111*****,true,true,a***@example.net test02,Alice,true,86-1381111*****,true,true,a***@example.netパラメーターの説明:
パラメーター
説明
例
ID
ユーザーの一意の識別子。 ID は既存のものと同じにすることはできません。
ID は 5~60 文字の長さで、先頭は英字である必要があり、英字、数字、アンダースコア (_)、ハイフン (-)、ピリオド (.) を含めることができます。
test01, test02
名前
ユーザーの名前。
名前は 1~20 文字の長さで、次の特殊文字を含めることはできません:
"\$|~?&<>{}`'。Kumer Alice
携帯電話番号
ユーザーの携帯電話番号。 国別コードは数字で、1~4 文字の長さである必要があります。
86-1381111*****, 86-1381112*****
ショートメッセージを受信する
ActionTrail が携帯電話番号にショートメッセージ通知を送信することを許可するかどうかを指定します。 有効な値:
true: 許可。
false: いいえ。
true
[音声通話の受信]
ActionTrail が携帯電話番号に音声通話を送信することを許可するかどうかを指定します。
true: 操作は許可されます。
false: いいえ。
true
メールボックス
ユーザーのメールボックス。
a***@example.net
有効化
ActionTrail がユーザーにアラート通知を送信することを許可するかどうかを指定します。 有効な値:
true: 操作を許可します。
false: いいえ。
true
ユーザーグループを作成します。
[通知受信者] タブで、[ユーザーグループ管理] をクリックします。
[ユーザーグループ管理] タブで、[作成] をクリックします。
[ユーザーグループの追加] ダイアログボックスで、次のパラメーターを設定し、[確認] をクリックします。
次の表に、主要なパラメーターと設定例を示します。
パラメーター
説明
例
[ID]
ユーザーグループの一意の識別子。 ID は既存のものと同じにすることはできません。
ID は 5~60 文字の長さで、先頭は英字である必要があり、英字、数字、アンダースコア (_)、ハイフン (-)、ピリオド (.) を含めることができます。
group-01
[グループ名]
ユーザーグループの名前。
名前は最大 20 文字で、次の特殊文字を含めることはできません:
\$|~?&<>{}`'"。ActionTrail 運用保守グループ
追加するメンバー
作成したユーザー。
クマー、アリス
[追加済みメンバー]
ユーザーグループに追加されたユーザー。
クマー アリス
有効化
ActionTrail がユーザーグループにアラート通知を送信することを許可するかどうかを指定します。 有効な値:
有効化: はい。
無効化: いいえ。
有効化
ステップ 4 (任意): コンテンツテンプレートの作成
デフォルトでは、ActionTrail は組み込みの SLS ActionTrail コンテンツテンプレートを使用してアラート通知を送信します。 必要に応じて、カスタムコンテンツテンプレートを作成することもできます。
ActionTrail コンソールにログインします。
左側のナビゲーションウィンドウで、[アラート] をクリックします。
[アラートセンター] ページで、 を選択します。
[作成] をクリックします。
[コンテンツテンプレートの追加] ダイアログボックスで、[ID] と [名前] を設定します。
各アラート通知方法の通知内容を指定します。
通知方法
説明
SMS
次のパラメーターを設定できます。
[言語]: アラート通知の言語。 有効な値: 中国語と英語。
[内容]: アラート通知の内容。 内容を入力するか、テンプレート変数を使用してアラート通知の内容を指定できます。 詳細については、「新しいアラートテンプレートの変数」をご参照ください。
音声
次のパラメーターを設定できます。
[言語]: アラート通知の言語。 有効な値: 中国語と英語。
[内容]: アラート通知の内容。 内容を入力するか、テンプレート変数を使用してアラート通知の内容を指定できます。 詳細については、「新しいアラートテンプレートの変数」をご参照ください。
メール
次のパラメーターを設定できます。
[言語]: アラート通知の言語。 有効な値: 中国語と英語。
[件名]: アラート通知の件名。 件名を入力するか、テンプレート変数を使用してアラート通知の件名を指定できます。
[内容]: アラート通知の内容。 内容を入力するか、テンプレート変数を使用してアラート通知の内容を指定できます。 詳細については、「新しいアラートテンプレートの変数」をご参照ください。
DingTalk
次のパラメーターを設定できます。
言語: アラート通知の言語。有効値: 中国語、英語。
[詳細表示の無効化]: ログイン不要モードでのアラート詳細の表示またはアラートルール管理を無効にするかどうかを指定します。 詳細については、「ログイン不要モードでアラート詳細を表示する」をご参照ください。
[タイトル]: アラート通知のタイトル。 タイトルを入力するか、テンプレート変数を使用してアラート通知のタイトルを指定できます。
[内容]: アラート通知の内容。 内容を入力するか、テンプレート変数を使用してアラート通知の内容を指定できます。 詳細については、「新しいアラートテンプレートの変数」をご参照ください。
Webhook-カスタム
次のパラメーターを設定できます。
[送信モード]: アラート通知を送信するために使用されるメソッド。 有効な値: シングルとバッチ。
たとえば、内容フィールドに
{ "project": "{{project}}", "alert_name": "{{alert_name}}"}を入力し、2 つのアラートがトリガーされたとします。シングル: 2 つのアラート通知が個別に送信されます。 内容は
{ "project": "project-1", "alert_name": "alert-1"}と{ "project": "project-2", "alert_name": "alert-2"}です。バッチ: 2 つのアラート通知が一度に送信されます。 内容は
[{ "project": "project-1", "alert_name": "alert-1"}, { "project": "project-2", "alert_name": "alert-2"}]です。バッチを選択し、グループ内で送信されるアイテムの最大数パラメーターを N に設定した場合、マージセット内の最初の N 個のアラートに対するアラート通知が送信されます。
バッチを選択し、指定した内容が JSON データに解析できる場合、アラート通知は JSON 形式で送信されます。 内容が JSON データに解析できない場合、アラート通知は文字列を含む配列として送信されます。
[グループ内で送信されるアイテムの最大数]: 一度に送信できるアラートの最大数。 カスタム値を指定するか、無制限を選択できます。
[内容]: アラート通知の内容。 内容を入力するか、テンプレート変数を使用してアラート通知の内容を指定できます。 詳細については、「新しいアラートテンプレートの変数」をご参照ください。
説明ActionTrail がアラート通知を送信する際、デフォルトでリクエストヘッダー Content-Type: application/json;charset=utf-8 が使用されます。 Webhook 受信者が異なる形式のリクエストヘッダーを必要とする場合は、通知方法を設定する際にカスタムリクエストヘッダーを指定できます。 詳細については、「通知方法」をご参照ください。
通知
次のパラメーターを設定できます。
[言語]: アラート通知の言語。 有効な値: 中国語と英語。
[内容]: アラート通知の内容。 内容を入力するか、テンプレート変数を使用してアラート通知の内容を指定できます。 詳細については、「新しいアラートテンプレートの変数」をご参照ください。
WeCom
次のパラメーターを設定できます。
[言語]: アラート通知の言語。 有効な値: 中国語と英語。
[タイトル]: アラート通知のタイトル。 タイトルを入力するか、テンプレート変数を使用してアラート通知のタイトルを指定できます。
[内容]: アラート通知の内容。 内容を入力するか、テンプレート変数を使用してアラート通知の内容を指定できます。 詳細については、「新しいアラートテンプレートの変数」をご参照ください。
Lark
次のパラメーターを設定できます。
[言語]: アラート通知の言語。 有効な値: 中国語と英語。
[詳細表示の無効化]: ログイン不要モードでのアラート詳細の表示またはアラートルール管理を無効にするかどうかを指定します。 詳細については、「ログイン不要モードでアラート詳細を表示する」をご参照ください。
[タイトル]: アラート通知のタイトル。 タイトルを入力するか、テンプレート変数を使用してアラート通知のタイトルを指定できます。
[内容]: アラート通知の内容。 内容を入力するか、テンプレート変数を使用してアラート通知の内容を指定できます。 詳細については、「新しいアラートテンプレートの変数」をご参照ください。
Slack
次のパラメーターを設定できます。
[言語]: アラート通知の言語。 有効な値: 中国語と英語。
[タイトル]: アラート通知のタイトル。 タイトルを入力するか、テンプレート変数を使用してアラート通知のタイトルを指定できます。
[内容]: アラート通知の内容。 内容を入力するか、テンプレート変数を使用してアラート通知の内容を指定できます。 詳細については、「新しいアラートテンプレートの変数」をご参照ください。
EventBridge
次のパラメーターを設定できます。
[件名]: アラート通知の件名。 件名を入力するか、テンプレート変数を使用してアラート通知の件名を指定できます。
[内容]: アラート通知の内容。 内容を入力するか、テンプレート変数を使用してアラート通知の内容を指定できます。 詳細については、「新しいアラートテンプレートの変数」をご参照ください。
Function Compute
次のパラメーターを設定できます。
[送信モード]: アラート通知を送信するために使用されるメソッド。 有効な値: シングルとバッチ。
たとえば、内容フィールドに
{ "project": "{{project}}", "alert_name": "{{alert_name}}"}を入力し、2 つのアラートがトリガーされたとします。シングル: 2 つのアラート通知が個別に送信されます。 内容は
{ "project": "project-1", "alert_name": "alert-1"}と{ "project": "project-2", "alert_name": "alert-2"}です。バッチ: 2 つのアラート通知が一度に送信されます。 内容は
[{ "project": "project-1", "alert_name": "alert-1"}, { "project": "project-2", "alert_name": "alert-2"}]です。バッチを選択し、グループ内で送信されるアイテムの最大数パラメーターを N に設定した場合、マージセット内の最初の N 個のアラートに対するアラート通知が送信されます。
バッチを選択し、指定した内容が JSON データに解析できる場合、アラート通知は JSON 形式で送信されます。 内容が JSON データに解析できない場合、アラート通知は文字列を含む配列として送信されます。
[グループ内で送信されるアイテムの最大数]: 一度に送信できるアラートの最大数。 カスタム値を指定するか、無制限を選択できます。
[内容]: アラート通知の内容。 内容を入力するか、テンプレート変数を使用してアラート通知の内容を指定できます。 詳細については、「新しいアラートテンプレートの変数」をご参照ください。
[確認] をクリックします。
ステップ 5 (任意): アクションポリシーの作成
アクションポリシーは、アラート通知のチャネルと頻度を制御します。 組み込みのアラートルールは、デフォルトの SLS ActionTrail 組み込みアクションポリシーを使用してアラート通知を送信します。 カスタムアクションポリシーを作成して、アラートのトリガー条件、通知チャネル、受信者を設定することもできます。
ActionTrail コンソールにログインします。
左側のナビゲーションウィンドウで、[アラート] をクリックします。
[アラートセンター] ページで、 を選択します。
[作成] をクリックします。
[アクションポリシーの追加] ダイアログボックスで、[ID] と [名前] パラメーターを設定します。
[プライマリ アクションポリシー] タブで、アクションポリシーを作成します。
アイコンをクリックします。 アラート通知をトリガーする条件を設定し、[確認] をクリックします。
パラメーター
説明
例
条件
有効な値:
[すべて]: アクションポリシーは、アラートセット内のすべてのアラートが指定された条件を満たす場合にのみ実行されます。
[いずれか]: アクションポリシーは、アラートセット内の 1 つ以上のアラートが指定された条件を満たす場合に実行されます。
すべて
条件式
条件式に一致するアラートは、アクションポリシーに基づいて処理されます。 条件式には、オブジェクト、オペレーター、オブジェクト値を指定できます。
オブジェクト: Alibaba Cloud アカウント ID
オペレーター: 次と等しい
オブジェクト値: 154035569884****
モード
標準モードまたはアドバンストモードで複数の条件を追加できます。 有効な値:
[標準モード]: 複数の条件を指定した場合、条件は AND オペレーターを使用して評価されます。
[アドバンストモード]: 複数の条件を指定した場合、条件は AND または OR オペレーターを使用して評価できます。 また、括弧を使用して複数の条件を 1 つのグループにまとめることもできます。 ネストされた条件がサポートされています。
標準モード
アクショングループを設定します。
通知方法と関連パラメーターを設定します。 サポートされている通知方法には、ショートメッセージ、音声通話、メール、DingTalk、Webhook、メッセージセンターなどがあります。 詳細については、「通知方法」をご参照ください。
[条件] または [アクション グループ] ダイアログボックスの
アイコンをクリックして、構成を終了します。 説明さらに条件やアクショングループを追加したい場合は、
アイコンをクリックします。 任意。 [終了] をクリックした後に、さらに [条件] ノードと [アクショングループ] ノードを追加したい場合は、次の手順を実行します。
既存のノードを削除します。
ノードを右クリックし、[ノードの削除] を選択します。
ノードを追加します
- アイコンをクリックして [条件] ノードを追加します。
アイコンをクリックして [アクショングループ] ノードを追加します。 - アイコンをクリックして [終了] ノードを追加します。
[確認] をクリックします。
ステップ 6: アラートルールを有効にする
ActionTrail では、テンプレートからアラートルールを作成したり、カスタムアラートルールを作成したりできます。 たとえば、Virtual Private Cloud (VPC) のルーティング設定が変更されたときにアラートをトリガーしたい場合は、VPC ネットワークルート変更アラートテンプレートからアラートルールを作成できます。
カスタムアラートルールは作成後に自動的に有効になります。 カスタムルールに対して以下の手順を実行する必要はありません。 カスタムアラートルールの作成方法の詳細については、「カスタムアラートルールの作成」をご参照ください。
ActionTrail コンソールにログインします。
左側のナビゲーションウィンドウで、[イベントアラート] をクリックします。
[アラートおよびモニタリングシステム] ページで、[アラートルール] タブをクリックします。
[アラートの作成] ボタンの横にある矢印をクリックします。
[テンプレートから作成] を選択します。
対象のアラートテンプレートをクリックします。
[確認] をクリックしてアラートルールを作成します。
[ステータス] 列に [実行中] と表示されている場合、アラートルールは有効になっています。 アラートルール名をクリックしてアラート履歴を照会したり、[操作] 列の [編集] をクリックしてアラートルールの設定を表示したりできます。
関連ドキュメント
SLS でアラートモニタリングルールを設定することもできます。 詳細については、「ログベースのアラートを迅速に設定する」をご参照ください。
組み込みのアラートルールの詳細については、「組み込みのアラートモニタリングルール」をご参照ください。
アラートモニタリングルールで発生する可能性のある問題の詳細については、「アラートモニタリングルールに関するよくある質問」をご参照ください。
アラート通知チャネルに関連する問題の詳細については、「通知チャネルに関するよくある質問」をご参照ください。
アラート通知内容に関連する問題の詳細については、「通知内容に関するよくある質問」をご参照ください。
アラート通知を受信しない場合は、アラート履歴を確認して問題をトラブルシューティングできます。 詳細については、「アラート通知が受信されない問題のトラブルシューティング」をご参照ください。
カスタム Webhook を通知チャネルとして設定する際に問題が発生する場合があります。 詳細については、「カスタム Webhook の使用に関するよくある質問」をご参照ください。