本文将介绍如何通过ActionTrail将审计事件投递到日志服务,从而实现对主账号的监控和报警。

前提条件

进行操作前,请确保您已经注册了阿里云账号。如还未注册,请先完成账号注册

创建跟踪

  1. 登录ActionTrail控制台
  2. 在左侧导航栏,单击跟踪列表
  3. 单击创建跟踪
  4. 填写跟踪名称后,选择投递目标为将审计事件投递到日志服务
  5. 选择日志服务Project区域并填写日志服务Project名称
    说明 此处设置的Project用于存储审计日志。您可以填写已选择地域下的Project名称,也可以输入一个新的Project名称。
  6. 打开是否开启日志记录开关。
    开启日志记录
  7. 单击确定
  8. 在提示对话框中,单击确定
    说明 创建跟踪需要授予访问日志服务和对象存储的权限。如果您已经授权,将不会弹出此对话框。
  9. 云资源访问授权页面下,单击同意授权
    说明 成功创建跟踪后,ActionTrail会将所有地域的审计事件都投递到指定的Logstore中。

配置日志服务

  1. 登录日志服务控制台
  2. Project列表区域,单击目标Project名称。
  3. 日志库页签下,单击目标Logstore名称。
  4. 输入查询语句:event.userIdentity.type:"root-account"| select count(1) as use_root,然后单击查询/分析
    日志分析
  5. 将日志另存为快速查询另存为告警
    • 另存为快速查询:单击页面右上角的另存为快速查询,输入快速查询名称后,单击确定
      说明 将日志另存为快速查询后,您可以在日志服务控制台直接选择该快速查询。

      关于快速查询的详细信息,请参见快速查询

    • 另存为告警:单击页面右上角的另存为告警,根据下图在告警配置页签下进行告警配置并在通知页签下选择通知类型。

      关于告警的配置详情,请参见设置告警

      监控主账号
      说明 将日志另存为告警后,当满足条件便可以收到告警通知。按照上图进行告警配置后,如果主账号在5分钟内被使用过,那么就报警。

执行结果

创建的快速查询和报警均可在日志服务控制台进行快速查看和管理。

快速查询&告警