本文将介绍如何使用操作审计将操作事件投递到日志服务SLS,从而实现对阿里云账号的监控和告警。

前提条件

请确保您已开通日志服务SLS。

当您首次使用日志服务SLS时,需要登录日志服务控制台,根据页面提示开通日志服务SLS。

创建跟踪

  1. 登录操作审计控制台
  2. 在顶部导航栏选择您想创建单账号跟踪的地域。
    说明 该地域将成为单账号跟踪的Home地域,即创建跟踪的地域。
  3. 在左侧导航栏,选择操作审计 > 创建跟踪
  4. 跟踪基本属性页面,设置如下参数,单击下一步
    参数 说明
    跟踪名称 跟踪的名称。同一阿里云账号中跟踪名称不能重复。
    跟踪的地域 选择全部地域
    事件类型 选择所有事件
  5. 审计事件投递页面,选择将事件投递到日志服务SLS
  6. 选择创建新的日志项目,选择日志库所属地域,设置日志项目名称
  7. 单击下一步
  8. 预览并创建页面,确认跟踪信息,单击提交

配置日志服务

  1. 在操作审计控制台,选择操作审计 > 跟踪列表
  2. 单击目标跟踪日志服务列下的日志分析
    说明 您也可以登录日志服务控制台进行配置。
  3. 单击日志库名称,然后单击15分钟(相对),设置查询的时间范围。
  4. 输入查询语句:event.userIdentity.type:"root-account"| select count(1) as use_root,然后单击查询/分析
  5. 将日志另存为快速查询另存为告警
    • 另存为快速查询:单击页面右上角的另存为快速查询,输入快速查询名称后,单击确定
      说明 将日志另存为快速查询后,您可以在日志服务控制台直接选择该快速查询。

      快速查询详请,请参见快速查询

    • 另存为告警:单击页面右上角的另存为告警,在告警规则面板配置相关参数,单击确定

      告警配置详情,请参见设置告警

      告警
      说明 将日志另存为告警后,当满足触发条件即可收到告警通知。按照上图进行告警配置后,如果阿里云账号在5分钟内被使用过,则上报告警。

执行结果

创建的快速查询和告警均可在日志服务控制台进行快速查看和管理。

告警