ActionTrail はアラート機能を提供します。この機能を使用して、クラウド リソースをリアルタイムで監視し、クラウド リソースの例外にできるだけ早く対応できます。システムがアラート ルールに基づいて潜在的なセキュリティの脅威または非準拠イベントを特定した場合、システムは複数の通知方法を使用してルールで指定されたユーザーおよびユーザー グループに通知します。このようにして、ユーザーとユーザー グループは、クラウド リソースのセキュリティと整合性を確保するために、脅威またはイベントにできるだけ早く対処できます。このトピックでは、アラート機能を有効にしてアラート ルールを構成する方法について説明します。
前提条件
Simple Log Service がアクティブ化されています。Simple Log Service を初めて使用するときは、Simple Log Service コンソールにログインし、プロンプトに従ってサービスをアクティブ化する必要があります。詳細については、「Simple Log Service とは」をご参照ください。
Simple Log Service を使用すると、ストレージ料金や通知料金などの料金が発生します。詳細については、「請求の概要」をご参照ください。
ステップ 1: トレイルを作成する
以下の条件を満たすトレイルを作成します。
トレイルはすべてのリージョンからイベントを配信します。
トレイルはすべての管理イベントを配信します。
トレイルは読み取りイベントと書き込みイベントの両方を配信します。
トレイルは Simple Log Service にイベントを配信します。
詳細については、「シングルアカウント トレイルを作成する」および「マルチアカウント トレイルを作成する」をご参照ください。
トレイルを作成するときに、データ バックフィル タスクを作成して、過去 90 日以内に生成されたイベントを配信できます。詳細については、「データ バックフィル タスクを作成する」をご参照ください。
ステップ 2: トレイルのログストアを選択する
ActionTrail コンソール にログインします。
左側のナビゲーション ウィンドウで、[イベント高度照会] をクリックします。表示されるページの [照会範囲] セクションで、ステップ 1: トレイルを作成する で作成したトレイルを選択します。
左側のナビゲーション ウィンドウで、[アラート] をクリックします。
[アラート ルール] タブの [アラート センター] ページで、トレイル用に自動的に作成されたログストアを選択します。ログストアの名前は、actiontrail_トレイル名 の形式で付けられます。
ステップ 3: ユーザーとユーザー グループを作成する
ユーザーとユーザー グループをアラート通知の連絡先として指定できます。この例では、Alice と Kumer という名前の 2 人のユーザーと、ActionTrailOM という名前のユーザー グループが作成されます。ユーザー Alice と Kumer は ActionTrailOM ユーザー グループに追加されます。
ActionTrail コンソール にログインします。
左側のナビゲーション ウィンドウで、[アラート] をクリックします。
ユーザーを作成します。
[アラート センター] ページで、 を選択します。
[ユーザー管理] タブで、[作成] をクリックします。
[ユーザーの作成] ダイアログ ボックスで、パラメーターを構成し、[OK] をクリックします。
この例では、次のユーザー情報を入力します。
# ID, Username, Phone Number, Receive Text Message, Receive Phone Call, Email, Enabled test01,Kumer,true,86-1381111*****,true,true,a***@example.net test02,Alice,true,86-1381111*****,true,true,a***@example.net次の表に、パラメーターについて説明します。
パラメーター
説明
例
ID
ユーザーの ID。ID は一意である必要があります。
ID は 5 ~ 60 文字で、文字、数字、アンダースコア (_)、ハイフン (-)、ピリオド (.) を使用できます。ID は文字で始まる必要があります。
test01 および test02
ユーザー名
ユーザーの名前。
名前は 1 ~ 20 文字で、次の特殊文字を含めることはできません:
" \ $ | ~ ? & <> {} ''。Kumer および Alice
電話番号
ユーザーの国番号と携帯電話番号。国番号は 1 ~ 4 文字で、数字のみを含めることができます。
86-1381111***** および 86-1381112*****
ショートメッセージを受信する
ActionTrail が携帯電話番号にショートメッセージを送信できるかどうかを指定します。有効な値:
true
false
true
電話を受ける
ActionTrail が携帯電話番号に音声通知を送信できるかどうかを指定します。有効な値:
true
false
true
メール
ユーザーのメール アドレス。
a***@example.net
有効
ActionTrail がユーザーにアラート通知を送信できるかどうかを指定します。有効な値:
true
false
true
ユーザー グループを作成します。
[通知オブジェクト] タブで、[ユーザー グループ管理] をクリックします。
[ユーザー グループ管理] タブで、[作成] をクリックします。
[ユーザー グループの追加] ダイアログ ボックスで、パラメーターを構成し、[OK] をクリックします。
次の表に、パラメーターとサンプル パラメーター値を示します。
パラメーター
説明
例
ID
ユーザー グループの ID。ID は一意である必要があります。
ID は 5 ~ 60 文字で、文字、数字、アンダースコア (_)、ハイフン (-)、ピリオド (.) を使用できます。ID は文字で始まる必要があります。
group-01
グループ名
RAM ユーザー グループの名前。
名前は最大 20 文字で、次の特殊文字を含めることはできません:
\$|~?&<>{}''"。ActionTrailOM
利用可能なメンバー
作成したユーザー。
Kumer および Alice
選択済みメンバー
ユーザー グループの作成後にユーザー グループに追加されるユーザー。
Kumer および Alice
有効
ActionTrail がユーザー グループにアラート通知を送信できるかどうかを指定します。有効な値:
スイッチをオンにすると、ActionTrail はユーザー グループにアラート通知を送信できます。
スイッチをオフにすると、ActionTrail はユーザー グループにアラート通知を送信できません。
オン
ステップ 4: (オプション) アラート テンプレートを作成する
デフォルトでは、ActionTrail は SLS actiontrail ビルトイン コンテンツ テンプレートを使用して、ユーザーまたはユーザー グループにアラート通知を送信します。ビジネス要件に基づいてカスタム アラート テンプレートを作成することもできます。
ActionTrail コンソール にログインします。
左側のナビゲーション ウィンドウで、[アラート] をクリックします。
[アラート センター] ページで、 を選択します。
[作成] をクリックします。
[コンテンツ テンプレートの追加] ダイアログ ボックスで、[ID] と [名前] を構成します。
各アラート通知方法の通知コンテンツを指定します。
通知方法
説明
SMS
次のパラメーターを構成できます。
言語: アラート通知の言語。有効な値: 中国語と英語。
コンテンツ: アラート通知のコンテンツ。コンテンツを入力するか、テンプレート変数を使用してアラート通知のコンテンツを指定できます。詳細については、「新しいアラート テンプレートの変数」をご参照ください。
音声
次のパラメーターを構成できます。
言語: アラート通知の言語。有効な値: 中国語と英語。
コンテンツ: アラート通知のコンテンツ。コンテンツを入力するか、テンプレート変数を使用してアラート通知のコンテンツを指定できます。詳細については、「新しいアラート テンプレートの変数」をご参照ください。
メール
次のパラメーターを構成できます。
言語: アラート通知の言語。有効な値: 中国語と英語。
件名: アラート通知の件名。件名を入力するか、テンプレート変数を使用してアラート通知の件名を指定できます。
コンテンツ: アラート通知のコンテンツ。コンテンツを入力するか、テンプレート変数を使用してアラート通知のコンテンツを指定できます。詳細については、「新しいアラート テンプレートの変数」をご参照ください。
DingTalk
次のパラメーターを構成できます。
言語: アラート通知の言語。有効な値: 中国語と英語。
詳細表示の無効化: ログイン不要モードでアラート詳細の表示またはアラート ルールの管理を無効にするかどうかを指定します。詳細については、「ログイン不要モードでアラート詳細を表示する」をご参照ください。
タイトル: アラート通知のタイトル。タイトルを入力するか、テンプレート変数を使用してアラート通知のタイトルを指定できます。
コンテンツ: アラート通知のコンテンツ。コンテンツを入力するか、テンプレート変数を使用してアラート通知のコンテンツを指定できます。詳細については、「新しいアラート テンプレートの変数」をご参照ください。
Webhook-カスタム
次のパラメーターを構成できます。
送信モード: アラート通知の送信に使用される方法。有効な値: 単一およびバッチ。
たとえば、
{ "project": "{{project}}", "alert_name": "{{alert_name}}"}を [コンテンツ] フィールドに入力し、2 つのアラートがトリガーされるとします。単一: 2 つのアラート通知が個別に送信されます。コンテンツは
{ "project": "project-1", "alert_name": "alert-1"}と{ "project": "project-2", "alert_name": "alert-2"}です。バッチ: 2 つのアラート通知が一度に送信されます。コンテンツは
[{ "project": "project-1", "alert_name": "alert-1"}, { "project": "project-2", "alert_name": "alert-2"}]です。[バッチ] を選択し、[グループで送信される最大項目数] パラメーターを N に設定すると、マージ セットの最初の N 個のアラートの通知が送信されます。
[バッチ] を選択し、指定したコンテンツを JSON データに解析できる場合、アラート通知は JSON 形式で送信されます。コンテンツを JSON データに解析できない場合、アラート通知は文字列を含む配列として送信されます。
グループで送信される最大項目数: 一度に送信できるアラートの最大数。カスタム値を指定するか、[無制限] を選択できます。
コンテンツ: アラート通知のコンテンツ。コンテンツを入力するか、テンプレート変数を使用してアラート通知のコンテンツを指定できます。詳細については、「新しいアラート テンプレートの変数」をご参照ください。
説明ActionTrail がアラート通知を送信する場合、リクエスト ヘッダー Content-Type: application/json;charset=utf-8 がデフォルトで使用されます。Webhook レシーバーが異なる形式のリクエスト ヘッダーを必要とする場合は、通知方法を構成するときにカスタム リクエスト ヘッダーを指定できます。詳細については、「通知方法」をご参照ください。
通知
次のパラメーターを構成できます。
言語: アラート通知の言語。有効な値: 中国語と英語。
コンテンツ: アラート通知のコンテンツ。コンテンツを入力するか、テンプレート変数を使用してアラート通知のコンテンツを指定できます。詳細については、「新しいアラート テンプレートの変数」をご参照ください。
WeCom
次のパラメーターを構成できます。
言語: アラート通知の言語。有効な値: 中国語と英語。
タイトル: アラート通知のタイトル。タイトルを入力するか、テンプレート変数を使用してアラート通知のタイトルを指定できます。
コンテンツ: アラート通知のコンテンツ。コンテンツを入力するか、テンプレート変数を使用してアラート通知のコンテンツを指定できます。詳細については、「新しいアラート テンプレートの変数」をご参照ください。
Lark
次のパラメーターを構成できます。
言語: アラート通知の言語。有効な値: 中国語と英語。
詳細表示の無効化: ログイン不要モードでアラート詳細の表示またはアラート ルールの管理を無効にするかどうかを指定します。詳細については、「ログイン不要モードでアラート詳細を表示する」をご参照ください。
タイトル: アラート通知のタイトル。タイトルを入力するか、テンプレート変数を使用してアラート通知のタイトルを指定できます。
コンテンツ: アラート通知のコンテンツ。コンテンツを入力するか、テンプレート変数を使用してアラート通知のコンテンツを指定できます。詳細については、「新しいアラート テンプレートの変数」をご参照ください。
Slack
次のパラメーターを構成できます。
言語: アラート通知の言語。有効な値: 中国語と英語。
タイトル: アラート通知のタイトル。タイトルを入力するか、テンプレート変数を使用してアラート通知のタイトルを指定できます。
コンテンツ: アラート通知のコンテンツ。コンテンツを入力するか、テンプレート変数を使用してアラート通知のコンテンツを指定できます。詳細については、「新しいアラート テンプレートの変数」をご参照ください。
EventBridge
次のパラメーターを構成できます。
件名: アラート通知の件名。件名を入力するか、テンプレート変数を使用してアラート通知の件名を指定できます。
コンテンツ: アラート通知のコンテンツ。コンテンツを入力するか、テンプレート変数を使用してアラート通知のコンテンツを指定できます。詳細については、「新しいアラート テンプレートの変数」をご参照ください。
Function Compute
次のパラメーターを構成できます。
送信モード: アラート通知の送信に使用される方法。有効な値: 単一およびバッチ。
たとえば、
{ "project": "{{project}}", "alert_name": "{{alert_name}}"}を [コンテンツ] フィールドに入力し、2 つのアラートがトリガーされるとします。単一: 2 つのアラート通知が個別に送信されます。コンテンツは
{ "project": "project-1", "alert_name": "alert-1"}と{ "project": "project-2", "alert_name": "alert-2"}です。バッチ: 2 つのアラート通知が一度に送信されます。コンテンツは
[{ "project": "project-1", "alert_name": "alert-1"}, { "project": "project-2", "alert_name": "alert-2"}]です。[バッチ] を選択し、[グループで送信される最大項目数] パラメーターを N に設定すると、マージ セットの最初の N 個のアラートの通知が送信されます。
[バッチ] を選択し、指定したコンテンツを JSON データに解析できる場合、アラート通知は JSON 形式で送信されます。コンテンツを JSON データに解析できない場合、アラート通知は文字列を含む配列として送信されます。
グループで送信される最大項目数: 一度に送信できるアラートの最大数。カスタム値を指定するか、[無制限] を選択できます。
コンテンツ: アラート通知のコンテンツ。コンテンツを入力するか、テンプレート変数を使用してアラート通知のコンテンツを指定できます。詳細については、「新しいアラート テンプレートの変数」をご参照ください。
[確認] をクリックします。
ステップ 5: (オプション) アクション ポリシーを作成する
アクション ポリシーを使用して、アラート通知方法とアラート通知が送信される頻度を管理できます。デフォルトでは、ActionTrail は SLS actiontrail ビルトイン アクション ポリシーを使用して、指定されたアラート連絡先にアラート通知を送信します。ビジネス要件に基づいてカスタム アクション ポリシーを作成することもできます。カスタム アクション ポリシーを作成するときは、アラート通知条件、アラート通知方法、およびアラート連絡先を指定できます。
ActionTrail コンソール にログインします。
左側のナビゲーション ウィンドウで、[アラート] をクリックします。
[アラート センター] ページで、 を選択します。
[作成] をクリックします。
[アクション ポリシーの追加] ダイアログ ボックスで、[ID] パラメーターと [名前] パラメーターを構成します。
[プライマリ アクション ポリシー] タブで、アクション ポリシーを作成します。
アイコンをクリックします。アラート通知をトリガーする条件を構成し、[確認] をクリックします。
パラメーター
説明
例
条件
有効な値:
すべて: アラート セット内のすべてのアラートが指定された条件を満たす場合にのみ、アクション ポリシーが実行されます。
いずれか: アラート セット内の 1 つ以上のアラートが指定された条件を満たす場合、アクション ポリシーが実行されます。
すべて
条件式
条件式に一致するアラートは、アクション ポリシーに基づいて処理されます。条件式には、オブジェクト、演算子、およびオブジェクト値を指定できます。
オブジェクト: Alibaba Cloud アカウント ID
演算子: 等しい
オブジェクト値: 154035569884****
モード
標準モードまたは高度モードで複数の条件を追加できます。有効な値:
標準モード: 複数の条件を指定した場合、条件は AND 演算子を使用して評価されます。
高度モード: 複数の条件を指定した場合、条件は AND または OR 演算子を使用して評価できます。また、かっこを使用して複数の条件を 1 つのグループにグループ化することもできます。ネストされた条件がサポートされています。
標準モード
アクショングループを構成します。
通知方法と関連パラメーターを構成します。サポートされている通知方法には、ショートメッセージ、音声通話、メール、DingTalk、Webhook、メッセージ センターなどがあります。詳細については、「通知方法」をご参照ください。
[条件] ダイアログ ボックスまたは [アクショングループ] ダイアログ ボックスの アイコンをクリックして、構成を終了します。説明さらに条件とアクショングループを追加する場合は、
アイコンをクリックします。オプション。条件[アクション グループ][終了] をクリックした後にさらに ノードと ノードを追加する場合は、次の手順を実行します。
既存のノードを削除します。
ノードを右クリックし、[ノードの削除] を選択します。
ノードを追加します。
- アイコンをクリックして、[条件] ノードを追加します。
アイコンをクリックして、[アクショングループ] ノードを追加します。- アイコンをクリックして、[終了] ノードを追加します。
[確認] をクリックします。
ステップ 6: アラート ルールを有効にする
ActionTrail では、アラート テンプレートを使用してアラート ルールを作成したり、カスタム アラート ルールを作成したりできます。ビジネス要件に基づいてアラート ルールを作成できます。たとえば、仮想プライベート クラウド (VPC) ルートの構成が変更されたときにアラートをトリガーする場合、VPC ネットワーク ルート変更アラート テンプレートを使用してアラート ルールを作成できます。
カスタム アラート ルールを作成すると、ルールは自動的に有効になります。次の手順を実行してルールを有効にする必要はありません。カスタム アラート ルールの作成方法の詳細については、「カスタム アラート ルールを作成する」をご参照ください。
ActionTrail コンソール にログインします。
左側のナビゲーション ウィンドウで、アラート をクリックします。
[アラート センター] ページで、[アラート ルール] タブをクリックします。
の横にあるドロップダウン矢印をクリックします。アラートの作成
[テンプレートから作成] を選択します。
宛先のアラート テンプレートをクリックします。
[OK] をクリックします。アラート ルールが作成されます。
[実行中] が [ステータス] 列に表示されている場合、アラートルールは有効になっています。アラートルールの名前をクリックすると、アラートルールの詳細を表示できます。[アクション] 列にあるアラートルールの [編集] をクリックすると、アラートルール構成を表示できます。
参考資料
Simple Log Service でアラート監視ルールを構成できます。詳細については、「Simple Log Service でアラート監視ルールを構成する」をご参照ください。
ビルトイン アラート ルールの詳細については、「アラート ルールの作成」をご参照ください。
アラート ルールの潜在的な問題の詳細については、「アラート監視ルールに関するよくある質問」をご参照ください。
アラート通知方法の詳細については、「アラート通知方法に関するよくある質問」をご参照ください。
アラート通知の詳細については、「アラート通知に関するよくある質問」をご参照ください。
アラート通知を受信しない場合は、[アラート履歴] セクションで問題をトラブルシューティングできます。詳細については、「アラート通知が受信されない問題のトラブルシューティング」をご参照ください。
カスタム Webhook を通知方法として構成する場合、特定の問題が発生する可能性があります。詳細については、「カスタム Webhook に関するよくある質問」をご参照ください。