Insights会借助数学模型智能分析您账号中的管控事件,帮助您发现异常行为。开通Insights事件后,操作审计将基于管控事件识别存在风险的API调用事件、API错误事件、IP请求事件及AccessKey调用事件等并生成Insights事件。本文以查询非常用IP事件为例,为您介绍如何通过SLS存储和查询Inisghts事件。
前提条件
请确保您已开通Insights事件。具体操作,请参见开通Insights事件。
在开通Insights事件功能后,操作审计会在至少24小时后为您产生第一条Insights事件。
步骤一:创建跟踪
如果当前账号已存在符合以下条件的跟踪,则无需重新创建跟踪,只需更新跟踪投递的事件类型,将Insights事件选中保存即可。
单账号跟踪。
跟踪地域为所有地域。
跟踪投递事件的存储服务包含SLS。
如果当前账号未创建跟踪或没有符合条件的跟踪,请按照以下步骤创建跟踪:
登录操作审计控制台。
在左侧导航栏,单击跟踪。
在顶部导航栏选择您想创建单账号跟踪的地域。
说明该地域将成为单账号跟踪的Home地域,即创建跟踪的地域。
在跟踪页面,单击创建跟踪。
在创建跟踪页面,设置跟踪的相关参数。
基本信息
参数
说明
跟踪名称
跟踪的名称,该名称将用于在SLS中对Logstore命名。
说明跟踪名称不可重复。
跟踪配置
跟踪投递的事件。取值:
管控事件:系统默认选中管控事件,事件类型选择所有事件。
Insights事件:选中Insights事件。
审计事件投递:选择将事件投递到日志服务SLS。
选择投递到本账号,设置如下参数。
参数
描述
日志项目
选择事件投递到日志服务SLS的日志项目方式。
创建新的日志项目
选择已有的日志项目
日志库所属地域
日志项目所在地域。
日志项目名称
日志服务SLS中日志项目的名称。
说明日志项目名称为所有阿里云用户共用,不可重复。
当您选中创建新的日志项目时,将通过操作审计控制台新建日志项目,输入日志项目名称。
当您选中选择已有的日志项目时,在日志服务SLS中选择已有的日志项目名称。关于如何在日志服务SLS中新建日志项目,请参见快速入门。
说明跟踪创建成功后,操作审计会自动创建名为actiontrail_<跟踪名称>和insights_<跟踪名称>,分别存储管控事件和insights事件。Lostore会自动帮您设置审计最佳配置,创建查询所需索引和仪表盘,并禁止用户写入,保证审计数据的准确性,您无需提前创建Logstore。
选择投递到其他账号,设置日志项目ARN和日志写入角色ARN。
选择投递到其他账号时需要先在目标账号中创建RAM角色,授予操作审计服务向目标账号投递事件的权限,并提前创建日志项目。具体操作,请参见将多个阿里云账号的事件投递到同一账号。
单击确认。
步骤二:在日志服务SLS中查询Insjghts事件
登录日志服务控制台。
在Project列表区域,单击目标Project名称。
在左侧日志库列表,单击insights_<跟踪名称>,然后单击右上角的最近15分钟,设置查询的时间范围。
在搜索框中输入以下SQL语句,然后单击查询/分析,查询非常用IP事件的事件详情。
event.insightDetails.insightType:IpInsight
说明关于操作审计当前支持的Insights事件类型详情,请参见Insights事件类型。
您还可以通过以下SQL语句可查询指定时间范围内所有Insights事件的信息。
* | select from_unixtime(__time__) as eventTime,"event.insightDetails.insightType", "event.acsRegion" as eventRegion, "event.insightDetails.insightObject" as insightObject order by eventtime desc