:ActionTrailを使用してAccessKeyペアの使用を監視する

ステップ1: トレイルを作成する

このセクションでは、単一アカウントのトレイルを作成してイベントをLog Serviceに配信する方法について説明します。

1. ActionTrail コンソール にログインします。
2. 左側のナビゲーションペインで トレイル をクリックします。
3. 上部のナビゲーションバーで、単一アカウントトレイルを作成するリージョンを選択します。
   説明 選択したリージョンが、作成するトレイルのホームリージョンになります。
4. トレイルリスト ページで、[トレイルの作成] をクリックします。
5. トレイルの基本設定 のステップで、パラメータを設定して [次へ] をクリックします。 次の表は、各パラメーターの説明です。

   パラメーター	説明
   トレイル名	作成するトレイルの名前。 名前はAlibaba Cloudアカウント内で一意である必要があります。
   ログイベント	管理イベントのイベントタイプパラメーターを [すべてのイベント] に設定します。

6. イベント配信設定 のステップで、[Log Service に配信] を選択し、[現在のアカウントへの配送] を選択します。
7. 新しい Log Service プロジェクト を選択し、Logstore のリージョンドロップダウンリストからリージョンを選択し、プロジェクト名パラメーターを設定します。
8. 次へ をクリックします。
9. プレビューおよび作成 のステップで、トレイル設定を確認し、[送信] をクリックします。

ステップ2: イベントを照会し、Log ServiceでのAccessKeyペアの使用を監視するためのアラートルールを設定する

1. ActionTrailコンソールの左側のナビゲーションウィンドウで、[トレイル] をクリックします。
2. [トレイル] ページで、作成したトレイルを見つけ、[ストレージサービス] 列のアイコンの上にポインターを移動して、Log Service Logstoreの名前をクリックします。
3. 表示されるページの右上隅にある15分 (相対) をクリックして、クエリの時間範囲を指定します。
4. 検索ボックスにevent.us erIdentity.accessKeyId:"<YourAccessKeyId>" | select count (1) as use_ak_<YourAccessKeyId> と入力し、[検索と分析] をクリックします。
   説明 Replace <YourAccessKeyId> with your AccessKey ID.
5. [検索の保存] または [アラートとして保存] をクリックします。
   • クエリを保存する: 右上隅の [検索を保存] をクリックします。 [保存検索の詳細] パネルで、[保存検索名] パラメーターを設定し、[OK] をクリックします。
     説明 クエリを保存した後、Log Serviceコンソールでクエリを選択してクエリを開始できます。

     詳細については、「クイック検索」をご参照ください。

   • クエリに基づいてアラートルールを設定します。右上隅の [アラートとして保存] > [旧バージョンのアラート] を選択します。 [アラートモニタリングルール] パネルでパラメーターを設定し、[OK] をクリックします。

     詳細については、「アラームの設定」をご参照ください。

     説明 アラートルールを設定した後、アラートがトリガーされたときにアラート通知を受け取ることができます。 たとえば、Log Serviceは、前の図に示すアラートルールに基づいて、5分ごとにAccessKey IDの使用をチェックします。 過去5分間にAccessKey IDが使用された場合、Log Serviceはアラートを生成します。