使用Action Trail監控建立RAM使用者 - ActionTrail

本文為您介紹基於Action Trail的跟蹤和警示功能，對建立RAM使用者進行監控並通過簡訊通知方式進行警示。

使用情境

現代企業數字化轉型過程中，隨著雲上帳號使用的普及，企業開始對雲上帳號管理以及帳號安全逐漸重視。私自建立帳號會造成敏感資訊泄露，同時可能被用於非法活動，如網路攻擊、欺詐、惡意競爭等，給企業或個人帶來嚴重損失。本文為您介紹基於Action Trail的跟蹤和警示功能，對建立RAM使用者操作進行監控，並且通過簡訊通知的方式進行警示。

前提條件

請確保您已開通Log Service。當您首次使用Log Service時，需要登入Log Service控制台，根據頁面提示開通Log Service。更多資訊，請參見什麼是Log Service。

重要

使用Log Service會根據您的日誌儲存量以及簡訊通知等產生相應費用。有關詳細資料及費用結構，請參見Log Service計費概述。

步驟一：建立跟蹤

請建立符合以下條件的跟蹤：

跟蹤地區：涵蓋所有地區。
跟蹤事件類型：包括所有管控事件。
跟蹤事件讀寫類型：涵蓋所有事件（讀取和寫入）。
日誌投遞目標：確保跟蹤事件被投遞到Log Service（SLS）。

具體操作，請參見建立單帳號跟蹤或建立多帳號跟蹤。

步驟二：選擇跟蹤投遞日誌庫

登入Action Trail控制台。
在左側導覽列，單擊進階查詢，查詢範圍選擇步驟一：建立跟蹤名稱。
在左側導覽列，單擊事件警示。
在警示中心頁面，選擇警示規則。
選擇跟蹤投遞的日誌庫（actiontrail_跟蹤名稱）。

步驟三：配置自訂警示

建立警示規則

登入Action Trail控制台。
在左側導覽列，單擊事件警示。

選擇警示規則頁簽，單擊建立警示，按照介面提示完成規則配置。

請注意以下參數（其他參數按需設定）。

配置項	要求
查詢統計	在查詢統計中將日誌庫設定與步驟一所建立跟蹤投遞的目標SLS日誌庫（格式為actiontrail_跟蹤名稱）保持一致。查詢語句設定為： `(event.serviceName:Ram or event.serviceName:Ims) and event.eventName:CreateUser \| SELECT "event.userIdentity.principalId" as operator, "event.resourceName" as user, date_format(__time__, '%Y-%m-%d %H:%i:%s') as time` 說明上述語句通過欄位`event.serviceName`指定查詢的雲端服務，`event.eventName`指定查詢的操作事件，查詢是否有符合建立RAM使用者的操作事件。通過`SELECT`擷取操作事件中的操作人、建立的帳號、操作時間等資訊用於警示通知。 Action Trail支援的雲端服務及操作事件，請參見支援的雲端服務。 Action Trail事件結構定義，請參見管控事件結構定義。 SLS查詢文法，請參見查詢文法與功能。
觸發條件	觸發條件設定為當有資料時。警示嚴重度，可以根據實際業務情境設定警示嚴重程度。

單擊確定。

建立警示內容範本

在左側導覽列，單擊事件警示。
在警示中心頁面，選擇通知策略 > 內容範本。
在內容範本管理頁面，單擊建立，按照介面提示完成內容範本配置。
將內容範本類型切換為簡訊，並將發送內容設定為以下資訊。
```
阿里雲使用者：{{ alert.aliuid }}
警示規則名稱：{{ alert.alert_name }}
警示等級：{{ alert.severity | format_severity }}
{% for result in alert.fire_results %}
操作人：{{ result.operator }}於{{ result.time }}建立RAM使用者：{{ result.user }}
{% endfor %}
```
說明
內容範本中{{ 參數名 }}表示引用模板變數，通過{% for result in alert.fire_results %}遍曆所有查詢結果並通過{{ result.參數名 }}擷取操作事件內的指定參數。更多內容範本參數和文法說明，請參見內容範本文法（新版）。
單擊確認。

建立警示通知使用者

在左側導覽列，單擊事件警示。
在警示中心頁面，選擇通知對象 > 使用者管理。
在使用者管理頁面中，單擊建立，在添加使用者面板完成資訊填寫。
- 手機號：用於接收警示資訊的手機號，需開啟才能接收警示。
- 啟用：保持開啟，若關閉則無法正常接收警示。
單擊確認。

建立行動策略

在左側導覽列，單擊事件警示。
在警示中心頁面，選擇通知策略 > 行動策略。

在行動策略頁面，單擊建立，在添加行動策略設定面板中完成資訊填寫。

在第一行動列表中完成條件和行動組配置。

配置項	要求
條件設定	單擊表徵圖，在條件設定對話方塊中將規則選擇為步驟建立警示規則中所建立的監控規則。
行動組	渠道設定為簡訊。接收人設定為步驟建立警示通知使用者中所建立的使用者。

單擊確認。

開啟警示並關聯線動策略

在左側導覽列，單擊事件警示。
在警示中心頁面，單擊警示規則頁簽。

在監控規則列表中選中步驟建立警示規則中建立的規則，單擊操作列中編輯，在警示監控規則設定面板中開啟警示並關聯線動策略。

配置項	要求
輸出目標	切換至SLS通知。
開啟	表示監控規則狀態，需要切換至開啟狀態。
警示策略	策略類型：選擇普通模式。行動策略：選擇步驟建立行動策略中建立的策略。

單擊確認。

步驟四：驗證警示規則

登入RAM控制台，建立RAM使用者。

查詢接收簡訊，以下為通知內容樣本。

【阿里雲】Log Service警示：共有1條警示。警示詳情為：
阿里雲使用者：159498693826****
警示規則名稱：RAM使用者建立監控警示
警示等級：中級
操作人：27723316148169****於2023-07-14 17:08:15建立RAM使用者：test-create-a***@actiontrail-test.onaliyun.com
操作人：27723316148169****於2023-07-14 17:31:00建立RAM使用者：test-create-u***@actiontrail-test.onaliyun.com

常見問題

RAM使用者在Action Trail控制台建立跟蹤提示無許可權。

當您使用RAM使用者進行配置時，需要授予RAM使用者訪問和管理Action Trail的許可權。具體操作，請參見為RAM使用者授權。