本文将介绍如何通过 ActionTrail 监控 AccessKey 的使用。通过历史事件可以查看近 30 天内 AccessKey 的使用情况。通过配置跟踪,将审计事件投递到日志服务,可以做到对 AccessKey 的监控报警。

查询历史事件

开通 ActionTrail 服务之后,即可查询最近 30 天的审计事件。

  1. 登录 ActionTrail控制台
  2. 在左侧导航栏,单击历史事件查询
  3. 过滤器下拉菜单选择 AccessKeyId
  4. 输入您的 AccessKeyId来检索事件。
    说明 在页面顶端切换区域,可以查询各个区域下 AccessKeyId使用的审计事件。

使用跟踪

通过将审计事件投递到日志服务,ActionTrail 还可以实现对 AccessKey 的监控和报警。

  1. 在左侧导航栏,选择跟踪列表
  2. 单击创建跟踪
  3. 选择投递目标为将审计事件投递到日志服务。设置日志服务 Project 区域日志服务 Project 名称
    说明 此处设置的 Project 用于存储 ActionTrail 日志。您可以填写已选择的地域下的 Project 名称,也可以输入一个新的 Project 名称。
  4. 打开是否开启日志记录开关。
  5. 单击提交,结束配置。

成功新建跟踪任务后,ActionTrail 会将所有地域的审计事件都投递到指定的 Logstore 中。

配置日志服务

日志服务具有丰富的功能,包括数据分析、报表和报警等。下面举例说明如何设置报警。
  1. 登录日志服务控制台
  2. 选择所需的项目,单击项目名称。
  3. Logstore 列表页面,选择所需的日志库并单击查询
  4. 根据需求指定日志库(Logstore)、主题(Topic)和查询语句后,搜索指定日志。
    说明 单击页面右上角的 另存为快速查询,将查询参数保存为快速查询。

    查询语句举例:

    event.userIdentity.accessKeyId: "LTAI********eB7Z" | select count(1) as use_ak_LTAI********eB7Z


  5. 基于快速查询创建报警,单击页面右上角的另存为告警
    说明 其中 检查间隔设置为 5,即每隔 5 分钟检查最近 10 分钟的数据。如果 accessKeyId(举例如下:LTAIT04MwpKRe****)在十分钟内被用过一次,那么就报警。


收到的报警内容举例如下:

【阿里云】日志服务告警:账号 71887**@qq.com下项目henshao-test-send-sls-600/触发器use_ak_b7z生效2 > 1,内容AccessKey: LTAI********eB7Z 正在被使用,上下文[use_ak_LTAI********eB7Z:2]

创建的快速查询和报警均可在项目界面进行查看和管理。

日志服务支持通知中心、短信、钉钉机器人和自定义 WebHook 等多种报警方式,您可以根据自身需求,选择合适的报警方式。详见通知方式