本文将介绍如何通过操作审计将操作事件投递到日志服务(Log Service),从而实现对主账号的监控和报警。

前提条件

进行操作前,请确保您已经注册了阿里云账号。如还未注册,请先完成账号注册

创建跟踪

  1. 登录操作审计控制台
  2. 在顶部导航栏选择您想创建跟踪的地域。
    说明 该地域将成为目标跟踪的Home地域。
  3. 在左侧导航栏,单击操作审计 > 跟踪列表
  4. 单击创建跟踪,输入跟踪名称
  5. 适用跟踪到所有的区域选择
  6. 事件类型选择所有类型
  7. 打开是否开启日志记录开关,选择投递目标为SLS Logstore
  8. 是否新建 SLS Project选择,选择日志服务Project区域并填写日志服务Project名称
    说明 此处设置的Project用于存储审计日志。您可以填写已选择地域下的Project名称,也可以输入一个新的Project名称。
  9. 单击确定
  10. 在提示对话框中,单击确定
    说明 创建跟踪需要授予访问日志服务和对象存储的权限。如果您已经授权,将不会弹出此对话框。
  11. 云资源访问授权页面下,单击同意授权
    说明 成功创建跟踪后,操作审计会将所有地域的操作事件都投递到指定的Logstore中。

配置日志服务

  1. 找到创建好的跟踪,单击其日志服务列下的日志分析
    说明 您也可以通过登录日志服务控制台进行配置。
  2. 输入查询语句:event.userIdentity.type:"root-account"| select count(1) as use_root,然后单击查询/分析监控主账号
  3. 将日志另存为快速查询另存为告警
    • 另存为快速查询:单击页面右上角的另存为快速查询,输入快速查询名称后,单击确定
      说明 将日志另存为快速查询后,您可以在日志服务控制台直接选择该快速查询。

      关于快速查询的详细信息,请参见快速查询

    • 另存为告警:单击页面右上角的另存为告警,根据下图在告警配置页签下进行告警配置并在通知页签下选择通知类型。

      关于告警的配置详情,请参见设置告警

      监控主账号
      说明 将日志另存为告警后,当满足条件便可以收到告警通知。按照上图进行告警配置后,如果主账号在5分钟内被使用过,那么就报警。

执行结果

创建的快速查询和报警均可在日志服务控制台进行快速查看和管理。

查询告警