本文将介绍如何使用操作审计将操作事件投递到日志服务SLS,从而实现对AccessKey的监控和告警。

前提条件

请确保您已开通日志服务SLS。

当您首次使用日志服务SLS时,需要登录日志服务控制台,根据页面提示开通日志服务SLS。

背景信息

开通操作审计之后,可查询最近90天的操作事件,您可以使用AccessKeyId来检索事件。具体操作,请参见通过操作审计控制台查询事件。您也可以将操作事件投递到日志服务,从而保存更长时间。

创建跟踪

  1. 登录操作审计控制台
  2. 在顶部导航栏选择您想创建单账号跟踪的地域。
    说明 该地域将成为单账号跟踪的Home地域,即创建跟踪的地域。
  3. 在左侧导航栏,单击跟踪列表
  4. 跟踪列表页面,单击创建跟踪
  5. 跟踪基本属性页面,设置如下参数,单击下一步
    参数 说明
    跟踪名称 跟踪的名称。同一阿里云账号中跟踪名称不能重复。
    跟踪的地域 选择全部地域
    事件类型 选择所有事件
  6. 审计事件投递页面,选择将事件投递到日志服务SLS,然后选择投递到本账号
  7. 选择创建新的日志项目,选择日志库所属地域,设置日志项目名称
  8. 单击下一步
  9. 预览并创建页面,确认跟踪信息,单击提交

配置日志服务

  1. 在操作审计控制台,单击跟踪列表
  2. 单击目标跟踪日志服务列下的日志分析
    说明 您也可以登录日志服务控制台进行配置。
  3. 在页面右上角,单击15分钟(相对),设置查询的时间范围。
  4. 在搜索框中输入查询语句:event.userIdentity.accessKeyId: "LTAI********eB7Z" | select count(1) as use_ak_LTAI********eB7Z,然后单击查询/分析
  5. 将日志另存为快速查询另存为告警
    • 另存为快速查询:单击页面右上角的另存为快速查询,输入快速查询名称后,单击确定
      说明 将日志另存为快速查询后,您可以在日志服务控制台直接选择该快速查询。

      更多信息,请参见快速查询

    • 另存为告警:单击页面右上角的另存为告警,在告警规则面板配置相关参数,单击确定

      更多信息,请参见设置告警

      告警-1
      说明 将日志另存为告警后,满足触发条件即可收到告警通知,例如:按照上图进行告警配置后,如果accessKeyId在5分钟内被使用过,则上报告警。

执行结果

创建的快速查询和告警均可在日志服务控制台进行快速查看和管理。

快速查询和告警