自定义查询事件

当您需要根据实际使用场景灵活设置筛选条件或SQL语句,查询多个地域超过90天的事件时,可以通过操作审计控制台自定义查询事件。

前提条件

请确保您已经启用事件高级查询。具体操作,请参见启用事件高级查询

使用场景

自定义查询事件支持通用模式和简洁模式。您可以使用通用模式进行可视化搜索,或者使用简洁模式借助结构化查询语言SQL(Structured Query Language)进行灵活搜索。

模式

查询方式

说明

场景示例

通用模式

单条件查询

通过服务名称、事件名称、资源名称、资源类型、读写类型、用户名、密钥ID、源IP、请求者ID、账号类型、阿里云地域、事件源、事件ID等筛选条件进行查询。

如果需要查询KMS在固定时间内产生的全部事件,设置服务名称密钥管理服务(Kms)

多个条件组合查询

查询多个服务的事件、或者同一服务在多个地域的事件。

如果需要查询KMS在杭州和上海地域的事件,设置服务名称密钥管理服务(Kms)阿里云地域华东1(杭州)华东2(上海)

简洁模式

关键字查询

根据需求输入特定的搜索字段。

如果需要查询所有的写事件,在搜索文本框输入* AND event.eventRW: Write

指定条件查询

指定操作者(Who)、操作(What)、关联资源(Which)、地点(Where)或其他(Other)类型的条件进行查询。

如果需要查询KMS在固定时间内产生的全部事件,在搜索文本框输入* AND event.serviceName: Kms

多个条件组合查询

同时指定操作者(Who)、操作(What)、关联资源(Which)、地点(Where)和其他(Other)类型的多个条件进行查询。

如果需要查询操作审计中Alex产生的事件,在搜索文本框输入* AND event.serviceName: Actiontrail AND event.userIdentity.userName: Alex

排除条件查询

同时指定多个条件,将其中一个条件前面的语句修改为NOT即可排除该条件进行查询。

如果需要查询操作审计中非Alex产生的事件,在搜索文本框输入* AND event.serviceName: Actiontrail NOT event.userIdentity.userName: Alex

操作步骤

  1. 登录操作审计控制台

  2. 在左侧导航栏,单击高级查询

  3. 在顶部导航栏选择您想进行事件高级查询的地域。

  4. 高级查询页面,单击自定义查询页签,然后查询事件。

    说明

    如果不设置筛选条件,默认查询全部事件。

    方式一:通用模式(默认)

    1. 输入筛选条件。

    2. 单击查询

    3. 单击事件前面的加号,查询事件细节。

    4. (可选)单击事件详情,查询事件代码。

    方式二:简洁模式

    1. 单击切换到简洁模式

    2. 输入筛选条件。

    3. 单击查询

    4. 单击事件前面的加号,查询事件细节。

    5. (可选)单击事件详情,查询事件代码。

阿里云首页 操作审计 相关技术圈