ライフサイクル全体にわたるさまざまなリソースのキー状態の変更と操作をクエリおよび分析するには、ActionTrail のイベント高度照会機能で提供されるシステムテンプレートを使用できます。システムテンプレートには、Web Application Firewall(WAF)のイベントの作成と削除、Key Management Service(KMS)の証明書の削除イベント、Resource Access Management(RAM)ロールのイベントの作成と削除が含まれます。このトピックでは、ActionTrail を使用して KMS のキー作成イベントの詳細をクエリする方法について説明します。
前提条件
トレイルが作成され、イベントが Simple Log Service に配信されます。詳細については、「シングルアカウントトレイルを作成する」および「マルチアカウントトレイルを作成する」をご参照ください。
手順
ActionTrail コンソール にログオンします。
左側のナビゲーションウィンドウで、 を選択します。
[クエリ範囲] セクションで、[トレイル] ドロップダウンリストから作成したトレイルを選択します。
[テンプレートライブラリ] タブの [クエリ範囲] セクションで、 を選択します。
説明一度に最大 30 個のクエリ条件を設定できます。
[リソースライフサイクル関連イベント] タブで、イベントをクエリする時間範囲を指定し、[実行] をクリックします。
説明デフォルトでは、ActionTrail は 7 日以内のイベントをクエリします。
タブの右側にある [イベントアラート] をクリックして、現在のイベントのアラートを設定できます。詳細については、「カスタムアラートルールを作成する」をご参照ください。
システムテンプレートのデフォルトの SQL 文を変更し、[保存] をクリックして、テンプレートをカスタムテンプレートとして保存し、後続のタスクで再利用できます。
クエリ結果を表示します。
未加工ログ
[未加工ログ] タブで、表示するイベントを見つけ、[操作] 列の [イベントの詳細を表示] をクリックします。
説明[イベントの詳細を表示] パネルには、RAM ユーザーが 2024 年 1 月 16 日 15:35:58 に中国 (杭州) リージョンでキーを作成したことが示されています。
クエリヒストグラム
[クエリヒストグラム] タブで、イベントのヒストグラムを表示します。
参照
クエリ条件または SQL 文を設定して、イベントの詳細をクエリできます。詳細については、「カスタムイベントクエリを実行する」をご参照ください。