为跟踪启用Insight事件后,如果操作审计识别到异常调用操作并生成了Insight事件,操作审计会将Insight事件投递到跟踪指定的日志服务SLS或对象存储OSS。您可以通过SLS或OSS控制台查询Insight事件,以便查询90天以上的Insight事件或分析Insight事件。

前提条件

  • 请确保您已经通过提交工单,获取Insight事件的使用权限。
  • 请确保您已经创建了满足以下条件的单账号跟踪:
    • 跟踪的地域为全部地域。
    • 跟踪的事件类型为所有事件。
    具体操作,请参见创建单账号跟踪
  • 请确保您已经启用了Insight事件。具体操作,请参见启用Insight事件

通过SLS控制台查询Insight事件

Insight事件和管控事件会投递到相同的SLS Logstore,您需要通过SQL语句* and event.eventType: ActionTrailInsight在SLS中查询Insight事件,以便分析Insight事件。

  1. 登录操作审计控制台
  2. 在左侧导航栏,单击Insight
  3. 在顶部导航栏,选择您想查询事件的地域。
  4. Insight页面,单击更多图标,然后将鼠标悬停至跟踪对应存储服务列的叹号图标,最后单击日志库名称。
    SLS查看
  5. 在SLS控制台,单击15分钟(相对),设置查询的时间范围。
  6. 在搜索框中输入代码* and event.eventType: ActionTrailInsight,然后单击查询/分析,查询Insight事件。

通过OSS控制台查询Insight事件

Insight事件和管控事件会投递OSS存储空间中不同的路径,Insight事件路径如下:

oss://<bucket>/<日志文件前缀>/AliyunLogs/Actiontrail-Insight/<region>/<年>/<月>/<日>/<日志文件>
  1. 在操作审计控制台的Insight页面,单击更多图标,然后将鼠标悬停至跟踪对应存储服务列的叹号图标,最后单击OSS存储空间名称。
    OSS查看
  2. 在OSS控制台的左侧导航栏,单击文件管理
  3. 单击AliyunLogs,然后单击Actiontrail-Insight,根据地域和日期查询Insight事件。
    OSS路径