このトピックでは、監査証跡の変更イベントのクエリを例として、ActionTrail システムテンプレートを使用して、ネットワークとデータセキュリティのベストプラクティスに関連するイベントに関するログ情報を取得および表示する方法について説明します。
前提条件
トレイルを作成し、イベントを Simple Log Service (SLS) に配信済みであることを確認してください。 詳細については、「シングルアカウントトレイルの作成」および「マルチアカウントトレイルの作成」をご参照ください。
背景情報
ネットワークとデータセキュリティのベストプラクティスに従うことで、Alibaba Cloud リソースを継続的かつ動的に監視し、そのセキュリティとコンプライアンスのステータスに関するリアルタイムの情報を取得し、ネットワークセキュリティのリスクを効果的に削減できます。
ハイリスクな操作の検出を支援するために、ActionTrail は、ネットワークとデータセキュリティのベストプラクティスに基づいた複数のクエリテンプレートを提供しています。 イベント高度照会機能を使用してこれらのテンプレートを迅速に呼び出し、ハイリスクなアクセスイベントを監視および監査できます。 サポートされているイベントには、監査証跡の変更、監査証跡の停止、RAM ロールの変更、Cloud Firewall の無効化などがあります。
手順
ActionTrail コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[クエリ範囲] セクションで、[トレイル] ドロップダウンリストから作成したトレイルを選択します。
[クエリスコープ] エリアの [テンプレートライブラリ] タブで、 を選択します。
[監査証跡の変更イベントのクエリ] タブで、クエリの時間範囲を設定し、[実行] をクリックします。
説明デフォルトでは、ActionTrail は 7 日以内のイベントをクエリします。
タブの右側にある [イベントアラート] をクリックして、現在のイベントのアラートを設定できます。 詳細については、「カスタムアラートルールの作成」をご参照ください。
システムテンプレートのデフォルトの SQL 文を変更し、[保存] をクリックしてテンプレートをカスタムテンプレートとして保存し、後続のタスクで再利用できます。
クエリ結果を表示します。
Raw ログ
[Raw ログ] タブで、目的のイベントを見つけ、[操作] 列の [イベント詳細の表示] をクリックして、イベントの基本情報とレコードを表示します。
説明イベント詳細パネルには、Resource Access Management (RAM) ユーザーが 2024 年 1 月 10 日 11:06:40 に中国 (張家口) リージョンでトレイルを有効にしたことが示されています。
クエリ結果ヒストグラム
[クエリ結果ヒストグラム] タブで、イベント発生のヒストグラムを表示します。
参考情報
フィルター条件を設定するか、SQL 文を指定してイベント詳細をクエリすることもできます。 詳細については、「イベントのカスタムクエリ」をご参照ください。