使用操作审计监控阿里云账号的使用

步骤一：创建跟踪

以创建单账号跟踪为例，为您介绍如何创建跟踪并将事件投递到日志服务SLS。

1. 登录操作审计控制台。
2. 在左侧导航栏，单击跟踪。
3. 在顶部导航栏选择您想创建单账号跟踪的地域。
   说明 该地域将成为单账号跟踪的Home地域，即创建跟踪的地域。
4. 在跟踪页面，单击创建跟踪。
5. 在创建跟踪页面，设置跟踪的相关参数。
   • 在基本信息区域，设置管控事件的类型。

     参数	说明
     跟踪名称	跟踪的名称。同一阿里云账号中跟踪名称不能重复。
     日志事件	将管控事件的事件类型设置为所有事件。

   • 在审计事件投递区域，选择创建日志项目，将事件投递到本账号的日志服务SLS中。

6. 单击确认。

步骤二：在日志服务SLS中查询事件并设置告警

1. 在操作审计控制台，单击跟踪。
2. 将鼠标悬浮到目标跟踪存储服务列的图标，然后单击SLS日志库名称。
3. 在页面右上角，单击15分钟（相对），设置查询的时间范围。
4. 在搜索框中输入查询语句：event.userIdentity.type:"root-account"| select count(1) as use_root，然后单击查询/分析。
5. 将日志另存为快速查询或另存为告警。
   • 另存为快速查询：单击页面右上角的另存为快速查询，输入快速查询名称后，单击确定。
     说明 将事件另存为快速查询后，您可以在日志服务控制台直接选择该快速查询。

     快速查询详情，请参见快速查询。

   • 另存为告警：在页面右上角选择另存为告警 > 旧版告警，在告警监控规则面板配置相关参数，然后单击确定。

     告警配置详情，请参见设置告警。

     说明 将事件另存为告警后，当满足触发条件即可收到告警通知。按照上图进行告警配置后，如果阿里云账号在5分钟内被使用过，则上报告警。