ActionTrail の高度なイベントクエリ機能では、リソースライフサイクル全体における主要なステータス変更および操作 (WAF インスタンスの作成と削除、Key Management Service (KMS) 証明書の削除、RAM ロールの作成と削除など) をクエリするためのシステムテンプレートを提供しています。次の例では、KMS マスターキーの作成イベントをクエリする方法を説明します。
前提条件
トレイルが作成され、イベントが Simple Log Service に配信されている必要があります。詳細については、「シングルアカウントトレイルの作成」および「マルチアカウントトレイルの作成」をご参照ください。
手順
-
ActionTrail コンソールにログインします。
-
ナビゲーションペインで、 を選択します。
-
クエリ範囲 セクションで、trail ドロップダウンリストから作成した証跡を選択します。
-
クエリ範囲 セクションの テンプレートライブラリ タブで、 を選択します。
説明一度に最大 30 個のクエリ条件を設定できます。
-
リソースライフサイクルイベント } タブで、イベントの時間範囲を指定し、実行 をクリックします。
説明-
デフォルトでは、ActionTrail は過去 7 日間のイベントを照会します。
-
右側のイベントアラートをクリックして、現在の照会に対してアラートを設定できます。詳細については、「カスタムアラートルールの作成」をご参照ください。
-
システムテンプレート内のデフォルトの SQL ステートメントを変更し、保存をクリックしてカスタムテンプレートとして保存できます。
-
-
クエリ結果を確認します。
-
生ログ
未加工のログ タブで、表示するイベントを見つけ、操作 列の View Event Details をクリックすると、基本情報とイベントレコードが表示されます。
説明[イベント詳細の表示] パネルには、RAM ユーザーが 2024 年 1 月 16 日 15:35:58 に China (Hangzhou) リージョンでキーを作成したことが表示されます。
-
クエリヒストグラム: [クエリヒストグラム] タブで、イベントヒストグラムを表示できます。
-
関連情報
カスタムクエリ条件または SQL ステートメントを使用してイベント詳細をクエリすることもできます。詳細については、「カスタムイベントクエリの実行」をご参照ください。