操作审计支持通过多种方式查询事件,您可以基于本文指导快速查询事件。
前提条件
请确保您已经登录操作审计控制台。背景信息
- 事件查询仅限于单个阿里云账号、单个地域、90天内的事件查询,且查询条件只支持单个属性。
- 如果您需要跨阿里云账号、跨地域、实现更长时间日志的查询,且查询条件需要多属性或运行自定义SQL,可以先创建跟踪投递,然后使用事件高级查询功能。更多信息,请参见启用事件高级查询。
步骤一:选择资源所在的地域
您需要在资源所在地域查询该资源的管控日志。
例如:资源属于杭州地域,那么在操作审计的事件查询中,需要将地域切到杭州才能查到该资源的日志记录。
步骤二:选择合适的搜索条件
事件查询支持多种搜索条件,通过选择合适的搜索条件可以提高搜索效率。
- 查询指定资源的日志
如果明确知道要查询某资源的日志,并且已知资源ID信息,那么搜索条件选择 资源名称,输入资源ID信息,即可进行精确匹配搜索。
- 查询某类云服务的日志
搜索条件选择服务名称或资源类型,输入搜索内容进行查询。
说明- 当您输入搜索内容时,系统会模糊匹配并在下拉列表中显示匹配结果,从匹配结果中筛选所需的内容即可。
- 您可以在支持的云服务页面,查看操作审计支持的云服务的服务名称及支持的资源类型。
- 查询某类操作的日志
例如:当您收到ECS被释放的告警通知时,如果通知中无实例ID信息,则搜索条件选择事件名称,输入DeleteInstance,即可查询相关日志。
- 查询敏感操作的日志
搜索条件选择敏感操作,选择是进行查询。
说明 除了以上介绍的搜索条件外,操作审计还支持读写类型、用户名、AccessKeyId等搜索条件,您可以基于自己的实际场景选择合适的查询条件。
步骤三:筛选时间范围
在事件查询页面,时间范围默认选中最近1天,您可以调整时间控件筛选合适的时间范围。