通過Action Trail查詢網路及資料安全最佳實務事件 - ActionTrail

本文以查詢審計跟蹤的變更事件為例，為您介紹如何通過Action Trail的系統模板，檢索並查看與網路及資料安全最佳實務事件相關的日誌資訊。

前提條件

請確保您已建立跟蹤，且將事件投遞到Log ServiceSLS中。具體操作，請參見建立單帳號跟蹤和建立多帳號跟蹤。

通過遵循網路及資料安全最佳實務，您可以實現對阿里雲資源的持續、動態監控，即時掌握其安全合規狀況，有效降低網路安全風險。

為協助您識別高危操作，Action Trail提供了多項基於網路及資料安全最佳實務的查詢範本，您可通過事件進階查詢功能快速調用模板，監測和審計高危訪問事件。當前支援：審計跟蹤變更、審計跟蹤停止、RAM角色變更、Cloud Firewall關閉等事件。

登入Action Trail控制台。
在左側導覽列，選擇事件 > 進階查詢。
在查詢範圍-跟蹤選擇已建立的跟蹤。
在查詢範圍地區的模板庫頁簽，選擇系統模板 > 網路及資料安全最佳實務 > 查詢審計跟蹤的變更事件。
在查詢審計跟蹤的變更事件頁簽，先設定查詢事件的時間段，再單擊運行。
說明
- Action Trail預設查詢7天的事件。
- 您可以單擊右側的事件警示，為當前事件設定警示。具體操作，請參見建立自訂警示規則。
- 您可以對系統模板預設的SQL語句進行修改，然後單擊儲存，將其另存新檔自訂模板，進行二次應用。
查看事件的查詢結果。
- 原始日誌
  在原始日誌頁簽，單擊目標事件對應操作列的查看事件詳情，查看事件的基本資料和事件記錄。
  說明
  通過查看事件詳情面板可知，操作記錄顯示某RAM使用者在華北3（張家口）地區的2024年01月10日11:06:40進行了啟用跟蹤操作。
- 查詢長條圖
  在查詢長條圖頁簽，查看事件發生的長條圖。