操作审计支持事件高级查询功能,方便您查询多个地域超过90天的事件。您可以通过操作审计控制台进行事件高级查询。

前提条件

请确保您已经创建了满足以下条件的跟踪。具体操作,请参见创建单账号跟踪创建多账号跟踪
  • 跟踪的地域为全部地域。
  • 跟踪的事件类型为所有事件。
  • 跟踪投递的存储空间为日志服务SLS。

使用场景

事件高级查询支持通用模式和简洁模式。您可以使用通用模式进行可视化搜索,或者使用简洁模式借助结构化查询语言SQL(Structured Query Language)进行灵活搜索。

模式 查询方式 说明 场景示例
通用模式 单条件查询 通过服务名称、事件名称、资源名称、资源类型、读写类型、用户名、密钥ID、源IP、请求者ID、账号类型、阿里云地域、事件源、事件ID等筛选条件进行查询。 如果需要查询KMS在固定时间内产生的全部事件,设置服务名称密钥管理服务(Kms)
多个条件组合查询 查询多个服务的事件、或者同一服务在多个地域的事件。 如果需要查询KMS在杭州和上海地域的事件,设置服务名称密钥管理服务(Kms)阿里云地域华东1(杭州)华东2(上海)
简洁模式 关键字查询 根据需求输入特定的搜索字段。 如果需要查询所有的写事件,在搜索文本框输入* AND (event.eventRW: Write)
指定条件查询 指定操作者(Who)、操作(What)、关联资源(Which)、地点(Where)或其他(Other)类型的条件进行查询。 如果需要查询KMS在固定时间内产生的全部事件,在搜索文本框输入* AND (event.serviceName: Kms)
多个条件组合查询 同时指定操作者(Who)、操作(What)、关联资源(Which)、地点(Where)和其他(Other)类型的多个条件进行查询。 如果需要查询操作审计中Alex产生的事件,在搜索文本框输入* AND (event.serviceName: Actiontrail) AND event.userIdentity.userName: Alex
排除条件查询 同时指定多个条件,将其中一个条件前面的语句修改为NOT即可排除该条件进行查询。 如果需要查询操作审计中非Alex产生的事件,在搜索文本框输入* AND (event.serviceName: Actiontrail) NOT event.userIdentity.userName: Alex

操作步骤

  1. 登录操作审计控制台
  2. 在左侧导航栏,单击跟踪列表
  3. 跟踪列表页面,单击目标跟踪名称。
  4. 单击启用高级功能右侧的设置
  5. 在左侧导航栏,单击事件高级查询
  6. 在顶部导航栏选择您想进行事件高级查询的地域。
  7. 事件高级查询页面查询事件。
    1. 输入筛选条件。
    2. 单击查询
    3. 单击事件前面的加号,查询事件详情。
    4. (可选)单击事件详情,查询事件代码。
    1. 单击切换到简洁模式
    2. 输入筛选条件。
    3. 单击查询
    4. 单击事件前面的加号,查询事件详情。
    5. (可选)单击事件详情,查询事件代码。