通过操作审计监控KMS密钥的使用,您可以及时发现异常活动、未授权操作或潜在的安全风险。有效的监控和审计可以帮助您更好地管理和保护KMS密钥,确保数据的安全性和合规性。本文为您介绍通过操作审计的高级查询功能,查询KMS密钥的管理记录和使用情况。
前提条件
场景一:查询创建、删除、启用、禁用KMS密钥的记录
登录操作审计控制台。
在左侧导航栏,选择。
在左侧查询范围区域选择目标跟踪名称。
在Default区域,设置以下查询条件。
服务名称设置为密钥管理服务(Kms)。
事件名称设置为CreateKey、ScheduleKeyDeletion、EnableKey和DisableKey事件。
设置查询事件的时间范围,并单击运行。
查看事件的查询结果。
原始日志
在原始日志页签,可查看到指定时间范围内所有创建、删除、启用和禁用KMS密钥的记录。单击目标事件对应操作列的查看事件详情,可查看事件的基本信息和日志原文。
查询直方图
在查询直方图页签,查看事件发生的直方图。
(可选)如您需要查询指定的操作信息,如操作者、操作事件、密钥ID等信息,您可以使用SQL语句进行筛选。
关闭右上角的简单查询开关,输入以下查询分析语句。
event.serviceName:Kms AND (event.eventName:CreateKey OR event.eventName:ScheduleKeyDeletion OR event.eventName:EnableKey OR event.eventName:DisableKey) | SELECT date_format(__time__, '%Y-%m-%d %H:%i:%s') as time,"event.eventName" as eventName,"event.userIdentity.userName" as user,"event.resourceName" as keyId设置查询事件的时间范围,并单击运行。
查看事件的查询结果。
聚合分析
在聚合分析页签,查看筛选后的指定信息:操作时间、操作事件、操作人、密钥ID。
原始日志
在原始日志页签,单击目标事件对应操作列的查看事件详情,查看事件的基本信息和日志原文。
查询直方图
在查询直方图页签,查看事件发生的直方图。
场景二:查询指定KMS密钥的使用情况
登录操作审计控制台。
在左侧导航栏,选择。
在左侧查询范围区域选择目标跟踪名称。
关闭右上角的简单查询开关,输入需要查询的指定KMS密钥的密钥ID。
设置查询事件的时间范围,并单击运行。
查看事件的查询结果。
原始日志
在原始日志页签,可查看指定时间范围内指定密钥ID相关的操作事件。单击目标事件对应操作列的查看事件详情,可查看事件的基本信息和日志原文。
查询直方图
在查询直方图页签,查看事件发生的直方图。
(可选)如您需要统计指定密钥的调用信息,如相关事件名称、访问IP等信息,您可以使用相关的SQL语句进行统计。
在Default面板,输入以下查询分析语句。
"<YourKmsKeyId>" | SELECT DISTINCT "event.eventName" as eventName,"event.sourceIpAddress" as ip,count(*) as num GROUP BY eventName,ip ORDER BY count(*) DESC说明<YourKmsKeyId>请替换为您自己的Kms密钥ID。
设置查询事件的时间范围,并单击运行。
查看事件的查询结果。
聚合分析
在聚合分析页签,查看统计后的调用信息:相关事件、访问IP、调用次数。
原始日志
在原始日志页签,单击目标事件对应操作列的查看事件详情,查看事件的基本信息和日志原文。
查询直方图
在查询直方图页签,查看事件发生的直方图。
相关文档
您还可以通过操作审计控制台的事件查询功能查询近90天KMS相关的事件详情。具体操作,请参见通过操作审计控制台查询事件。
关于查询KMS相关的操作事件,请参见查询密钥和凭据的使用记录。