通過操作審計監控KMS密鑰的使用,您可以及時發現異常活動、未授權操作或潛在的安全風險。有效的監控和審計可以幫助您更好地管理和保護KMS密鑰,確保數據的安全性和合規性。本文為您介紹通過操作審計的高級查詢功能,查詢KMS密鑰的管理記錄和使用情況。
前提條件
場景一:查詢創建、刪除、啟用、禁用KMS密鑰的記錄
登錄操作審計控制臺。
在左側導航欄,選擇。
在左側查詢范圍區域選擇目標跟蹤名稱。
在Default區域,設置以下查詢條件。
服務名稱設置為密鑰管理服務(Kms)。
事件名稱設置為CreateKey、ScheduleKeyDeletion、EnableKey和DisableKey事件。
設置查詢事件的時間范圍,并單擊運行。
查看事件的查詢結果。
原始日志
在原始日志頁簽,可查看到指定時間范圍內所有創建、刪除、啟用和禁用KMS密鑰的記錄。單擊目標事件對應操作列的查看事件詳情,可查看事件的基本信息和日志原文。
查詢直方圖
在查詢直方圖頁簽,查看事件發生的直方圖。
(可選)如您需要查詢指定的操作信息,如操作者、操作事件、密鑰ID等信息,您可以使用SQL語句進行篩選。
關閉右上角的簡單查詢開關,輸入以下查詢分析語句。
event.serviceName:Kms AND (event.eventName:CreateKey OR event.eventName:ScheduleKeyDeletion OR event.eventName:EnableKey OR event.eventName:DisableKey) | SELECT date_format(__time__, '%Y-%m-%d %H:%i:%s') as time,"event.eventName" as eventName,"event.userIdentity.userName" as user,"event.resourceName" as keyId設置查詢事件的時間范圍,并單擊運行。
查看事件的查詢結果。
聚合分析
在聚合分析頁簽,查看篩選后的指定信息:操作時間、操作事件、操作人、密鑰ID。
原始日志
在原始日志頁簽,單擊目標事件對應操作列的查看事件詳情,查看事件的基本信息和日志原文。
查詢直方圖
在查詢直方圖頁簽,查看事件發生的直方圖。
場景二:查詢指定KMS密鑰的使用情況
登錄操作審計控制臺。
在左側導航欄,選擇。
在左側查詢范圍區域選擇目標跟蹤名稱。
關閉右上角的簡單查詢開關,輸入需要查詢的指定KMS密鑰的密鑰ID。
設置查詢事件的時間范圍,并單擊運行。
查看事件的查詢結果。
原始日志
在原始日志頁簽,可查看指定時間范圍內指定密鑰ID相關的操作事件。單擊目標事件對應操作列的查看事件詳情,可查看事件的基本信息和日志原文。
查詢直方圖
在查詢直方圖頁簽,查看事件發生的直方圖。
(可選)如您需要統計指定密鑰的調用信息,如相關事件名稱、訪問IP等信息,您可以使用相關的SQL語句進行統計。
在Default面板,輸入以下查詢分析語句。
"<YourKmsKeyId>" | SELECT DISTINCT "event.eventName" as eventName,"event.sourceIpAddress" as ip,count(*) as num GROUP BY eventName,ip ORDER BY count(*) DESC說明<YourKmsKeyId>請替換為您自己的Kms密鑰ID。
設置查詢事件的時間范圍,并單擊運行。
查看事件的查詢結果。
聚合分析
在聚合分析頁簽,查看統計后的調用信息:相關事件、訪問IP、調用次數。
原始日志
在原始日志頁簽,單擊目標事件對應操作列的查看事件詳情,查看事件的基本信息和日志原文。
查詢直方圖
在查詢直方圖頁簽,查看事件發生的直方圖。
相關文檔
您還可以通過操作審計控制臺的事件查詢功能查詢近90天KMS相關的事件詳情。具體操作,請參見通過操作審計控制臺查詢事件。
關于查詢KMS相關的操作事件,請參見查詢密鑰和憑據的使用記錄。