阿里云账号是阿里云资源归属、资源使用计量计费的基本主体。阿里云账号泄露会威胁您所有资源的安全。您可以使用操作审计创建跟踪,将事件投递到日志服务SLS,从而实现对阿里云账号的监控和告警。
前提条件
请确保您已开通日志服务SLS。当您首次使用日志服务SLS时,需要登录日志服务控制台,根据页面提示开通日志服务SLS。
步骤一:创建跟踪
以创建单账号跟踪为例,为您介绍如何创建跟踪并将事件投递到日志服务SLS。
- 登录操作审计控制台。
- 在左侧导航栏,单击跟踪。
- 在顶部导航栏选择您想创建单账号跟踪的地域。说明 该地域将成为单账号跟踪的Home地域,即创建跟踪的地域。
- 在跟踪页面,单击创建跟踪。
- 在创建跟踪页面,设置跟踪的相关参数。
- 在基本信息区域,设置管控事件的类型。
参数 说明 跟踪名称 跟踪的名称。同一阿里云账号中跟踪名称不能重复。 日志事件 将管控事件的事件类型设置为所有事件。 - 在审计事件投递区域,选择创建日志项目,将事件投递到本账号的日志服务SLS中。
- 在基本信息区域,设置管控事件的类型。
- 单击确认。
步骤二:在日志服务SLS中查询事件并设置告警
- 在操作审计控制台,单击跟踪。
- 将鼠标悬浮到目标跟踪存储服务列的
图标,然后单击SLS日志库名称。
- 在页面右上角,单击15分钟(相对),设置查询的时间范围。
- 在搜索框中输入查询语句:
event.userIdentity.type:"root-account"| select count(1) as use_root
,然后单击查询/分析。 - 将日志另存为快速查询或另存为告警。
执行结果
创建的快速查询和告警均可在日志服务控制台进行管理。
