通过操作审计查询网络及数据安全最佳实践事件_操作审计(ActionTrail)-阿里云帮助中心

本文以查询审计跟踪的变更事件为例，为您介绍如何通过操作审计的系统模板，检索并查看与网络及数据安全最佳实践事件相关的日志信息。

前提条件

请确保您已创建跟踪，且将事件投递到日志服务SLS中。具体操作，请参见创建单账号跟踪和创建多账号跟踪。

通过遵循网络及数据安全最佳实践，您可以实现对阿里云资源的持续、动态监控，实时掌握其安全合规状况，有效降低网络安全风险。

为帮助您识别高危操作，操作审计提供了多项基于网络及数据安全最佳实践的查询模板，您可通过事件高级查询功能快速调用模板，监测和审计高危访问事件。当前支持：审计跟踪变更、审计跟踪停止、RAM角色变更、云防火墙关闭等事件。

登录操作审计控制台。
在左侧导航栏，选择事件 > 高级查询。
在查询范围-跟踪选择已创建的跟踪。
在查询范围区域的模板库页签，选择系统模板 > 网络及数据安全最佳实践 > 查询审计跟踪的变更事件。
在查询审计跟踪的变更事件页签，先设置查询事件的时间段，再单击运行。
说明
- 操作审计默认查询7天的事件。
- 您可以单击右侧的事件告警，为当前事件设置告警。具体操作，请参见创建自定义告警规则。
- 您可以对系统模板默认的SQL语句进行修改，然后单击保存，将其另存为自定义模板，进行二次应用。
查看事件的查询结果。
- 原始日志
  在原始日志页签，单击目标事件对应操作列的查看事件详情，查看事件的基本信息和事件记录。
  说明
  通过查看事件详情面板可知，操作记录显示某RAM用户在华北3（张家口）地域的2024年01月10日11:06:40进行了启用跟踪操作。
- 查询直方图
  在查询直方图页签，查看事件发生的直方图。