ActionTrail でのカスタムクエリの実行 - ActionTrail - Alibaba Cloud ドキュメントセンター

複数のリージョンで 90 日以上前に生成されたイベントをクエリする場合は、フィルタリング条件または SQL 文を設定してカスタムイベントクエリを実行できます。このトピックでは、ActionTrail コンソールでカスタムイベントクエリを実行する方法について説明します。

前提条件

トレイルが作成され、イベントが Simple Log Service に配信されていること。詳細については、「シングルアカウントトレイルの作成」または「マルチアカウントトレイルの作成」をご参照ください。

シナリオ

カスタムイベントクエリは、簡易クエリモードまたは SQL クエリモードで実行できます。簡易クエリモードでは、視覚的な方法でイベントをクエリできます。SQL クエリモードでは、簡易クエリモードの条件から変換された SQL 文に基づいてイベントをクエリできます。

モード	クエリメソッド	説明	例
簡易クエリ	単一条件クエリ	サービス名、リージョン、イベント名、アカウントタイプ、読み取り/書き込みタイプ、リソース名、リソースタイプ、オペレーターなどのフィルター条件を使用してイベントをクエリできます。	特定の期間内に Key Management Service (KMS) のすべてのイベントをクエリするには、[サービス名] を [Key Management Service (Kms)] に設定します。
簡易クエリ	複数条件クエリ	1 つのサービスに対して複数のサービスまたはリージョンを指定してイベントをクエリできます。	中国 (杭州) および中国 (上海) リージョンで生成された KMS イベントをクエリするには、[サービス名] を [Key Management Service (Kms)] に、[リージョン] を [中国 (杭州)] および [中国 (上海)] に設定します。
SQL クエリ	キーワードベースのクエリ	必要に応じてテキストボックスにキーワードを入力できます。	すべての書き込みイベントをクエリするには、テキストボックスに `* AND event.eventRW: Write` を入力します。
	単一条件クエリ	Who、What、Which、Where、または Other カテゴリでフィルター条件を指定してイベントをクエリできます。	特定の期間内に KMS のすべてのイベントをクエリするには、テキストボックスに `* AND event.serviceName: Kms` を入力します。
	複数条件クエリ	Who、What、Which、Where、および Other カテゴリで複数のフィルター条件を指定してイベントをクエリできます。	ActionTrail でユーザー Alex によって実行された操作で生成されたイベントをクエリするには、テキストボックスに `* AND event.serviceName: Actiontrail AND event.userIdentity.userName: Alex` を入力します。
	NOT 演算子ベースのクエリ	複数のフィルター条件を指定し、除外したいフィルター条件の前の演算子を NOT に変更できます。	ActionTrail で Alex を除くすべてのユーザーによって実行された操作で生成されたイベントをクエリするには、テキストボックスに `* AND event.serviceName: Actiontrail NOT event.userIdentity.userName: Alex` を入力します。

手順

ActionTrail コンソールにログインします。
左側のナビゲーションウィンドウで、[イベント] > [高度なイベントクエリ] を選択します。
[クエリ範囲] セクションで、[トレイル] ドロップダウンリストから作成したトレイルを選択します。
[カスタムテンプレート] の [デフォルト] タブで、イベントクエリ条件を設定します。
- 簡易クエリ
  [簡易モード] で、プロンプトに従ってクエリ条件を設定します。
- SQL クエリ
  [簡易モード] をオフにして、SQL 文を指定します。
  説明
  - 高度なイベントクエリの SQL 構文とサンプルクエリの詳細については、「高度なイベントクエリにおける SQL 文」をご参照ください。
  - 簡易クエリモードがビジネス要件を満たせない場合は、SQL クエリモードを使用します。この場合、[簡易モード] でプロンプトに従ってクエリ条件を設定し、[簡易モード] をオフにできます。[簡易モード] で設定されたクエリ条件は、自動的に SQL 文に変換されます。その後、カスタム SQL 文を設定できます。
イベントをクエリする時間範囲を指定し、[実行] をクリックします。
説明
- デフォルトでは、ActionTrail は 7 日以内のイベントをクエリします。
- タブの右側にある [イベントアラート] をクリックして、現在のイベントのアラートを設定できます。詳細については、「カスタムアラートルールの作成」をご参照ください。
- システムテンプレートのデフォルトの SQL 文を変更し、[保存] をクリックしてテンプレートをカスタムテンプレートとして保存し、後続のタスクで再利用できます。
クエリ結果を表示します。
- 生ログ
  [生ログ] タブで、表示したいイベントを見つけ、[操作] 列の [イベント詳細の表示] をクリックして、イベントの基本情報と JSON フォーマットを表示します。
- ヒストグラム
  [クエリヒストグラム] タブで、イベントのヒストグラムを表示します。

参考情報

システムテンプレートを使用して、Alibaba Cloud アカウントまたは AccessKey、ネットワークとデータセキュリティのベストプラクティス、またはリソースのライフサイクルに関連するイベントをクエリできます。詳細については、「Alibaba Cloud アカウントまたは AccessKey に関連するイベントのクエリ」、「ネットワークとデータセキュリティのベストプラクティスに関連するイベントのクエリ」、および「リソースライフサイクルイベントのクエリ」をご参照ください。
90 日以上前に生成されたイベントをクエリできます。詳細については、「Simple Log Service または OSS コンソールでのイベントのクエリ」をご参照ください。