Alibaba Cloud アカウントまたは AccessKey ペアのイベントを照会する場合、ActionTrail のイベント高度照会機能で提供されるシステムテンプレートを使用できます。システムテンプレートには、「Alibaba Cloud アカウントを使用したコンソールのログインイベント」、「Alibaba Cloud アカウントの AccessKey ペアを使用したアクセスイベント」、「MFA を使用しない RAM ユーザーによるログインイベント」、「AccessKey ペアを使用したアクセス失敗イベント」などがあります。このトピックでは、システムテンプレートを使用して、Alibaba Cloud アカウントを使用したコンソールのログインイベントの詳細を照会する方法について説明します。
前提条件
トレイルが作成され、イベントが Simple Log Service に配信されます。詳細については、「シングルアカウントトレイルを作成する」および「マルチアカウントトレイルを作成する」をご参照ください。
手順
ActionTrail コンソール にログインします。
左側のナビゲーションウィンドウで、 を選択します。
[照会範囲] セクションで、[トレイル] ドロップダウンリストから作成したトレイルを選択します。
[照会範囲] ペインで、[テンプレートライブラリ] タブをクリックし、 を選択します。
[alibaba Cloud アカウントを使用したコンソールログオンのイベント] タブで、イベントをクエリする時間範囲を指定し、[実行] をクリックします。
説明デフォルトでは、ActionTrail は 7 日以内のイベントをクエリします。
タブの右側にある [イベントアラート] をクリックして、現在のイベントのアラートを設定できます。詳細については、「カスタムアラートルールを作成する」をご参照ください。
システムテンプレートのデフォルトの SQL 文を変更し、[保存] をクリックして、テンプレートをカスタムテンプレートとして保存し、後続のタスクで再利用できます。
クエリ結果を表示します。
未加工ログ
[未加工ログ] タブで、表示するイベントを見つけ、[アクション] 列の [イベント詳細の表示] をクリックして、イベントの基本情報と JSON 形式を表示します。
ヒストグラム
[クエリヒストグラム] タブで、イベントのヒストグラムを表示します。
参照
照会条件または SQL 文を設定して、イベントの詳細を照会できます。詳細については、「カスタムイベントクエリを実行する」をご参照ください。