高级查询事件

操作审计(ActionTrail)帮助您监控并记录阿里云账号的活动。当您需要查询90天以前的事件时,必须提前创建跟踪将事件投递到日志服务SLS、对象存储OSS或大数据计算服务MaxCompute。您还可以创建数据回补投递任务将最近90天的事件投递到对应的日志服务SLS中,以便长期存储完整的事件。本文为您介绍如何通过操作审计查询完整的操作事件详情。

前提条件

步骤一:创建跟踪

本文以创建单账号跟踪并投递到日志服务SLS为例,为您介绍如何创建您的第一个跟踪。

说明

您也可以创建多账号跟踪,或者将跟踪投递到对象存储OSS、大数据计算服务MaxCompute。更多信息,请参见创建单账号跟踪创建多账号跟踪

  1. 登录操作审计控制台

  2. 在左侧导航栏,单击跟踪

  3. 在顶部菜单栏,选择您想创建单账号跟踪的地域。

    说明

    该地域将成为单账号跟踪的Home地域,即创建跟踪的地域。

  4. 跟踪页面,单击创建跟踪

  5. 创建跟踪页面,设置跟踪的相关参数。

    • 基本信息区域,设置跟踪名称和管控事件类型。

      说明

      系统默认将跟踪投递的地域设置为全部地域。推荐您将管控事件设置为所有事件,以便跟踪全部地域的全部事件。关于参数的更多信息,请参见创建单账号跟踪

    • 审计事件投递区域,设置将跟踪投递到本账号的日志服务SLS。

      参数

      描述

      日志库所属地域

      日志项目所在地域。

      日志项目名称

      日志服务SLS中日志项目的名称。

      说明

      日志项目名称为所有阿里云用户共用,不可重复。

      • 当您选中创建新的日志项目时,将通过操作审计控制台新建日志项目,输入日志项目名称。

      • 当您选中选择已有的日志项目时,在日志服务SLS中选择已有日志项目名称。

        关于如何在日志服务SLS中新建日志项目,请参见快速入门

  6. 单击确认

步骤二(可选):创建数据回补投递任务

创建跟踪仅能投递跟踪创建时间之后的事件,如果您需要存储最近90天的事件,您还需要创建数据回补任务,该任务会回补最近90天的事件。

说明

您需要提交工单,才能使用数据回补功能。

关于数据回补功能的更多信息,请参见创建数据回补投递任务

  1. 在左侧导航栏,单击数据回补

  2. 在顶部导航栏选择您需要投递任务的地域。

    说明

    该地域必须与跟踪所在地域相同。

  3. 数据回补页面,单击创建任务

  4. 创建任务页面,选择跟踪。

    说明

    选择跟踪后,系统将自动填入跟踪的地域、日志项目地域、日志项目名称和日志库信息。

  5. 单击确定

    创建任务后,您可以在数据回补页面查看关联跟踪、可补跟踪历史范围、投递状态、任务创建时间、任务完成时间等信息。

步骤三:进行事件高级查询

  1. 在左侧导航栏,单击跟踪

  2. 跟踪页面,打开目标跟踪名称对应高级查询列的开关。

  3. 自定义模板Default页签,设置事件的查询条件。

    • 简单查询

      简单查询模式下,根据界面提示设置查询条件。

    • SQL查询

      关闭简单查询开关,输入SQL查询条件。

      说明
      • 关于高级查询的SQL语法和查询示例,请参见高级查询的SQL语法

      • 当简单查询不能满足您的需求时,您可以先在简单查询模式下,根据界面提示设置查询条件,再关闭简单查询开关。您在简单查询模式下设置的查询条件会自动转换为SQL语句,您可以对该SQL查询条件进行定制。

  4. 设置查询事件的时间段,单击运行

    说明
    • 操作审计默认查询7天的事件。

    • 您可以单击右侧的事件告警,为当前事件设置告警。具体操作,请参见创建自定义告警规则

    • 您可以对系统模板默认的SQL语句进行修改,然后单击保存,将其另存为自定义模板,进行二次应用。

  5. 查看事件的查询结果。

    • 原始日志

      原始日志页签,单击目标事件对应操作列的查看事件详情,查看事件的基本信息和JSON格式。

    • 直方图

      查询直方图页签,查看事件发生的直方图。

后续步骤

当您将事件投递到SLS、OSS或MaxCompute后,还可以通过SLS、OSS、MaxCompute查询或分析事件。具体操作,请参见:

相关文档