AccessKey包括AccessKey ID和AccessKey Secret,用于標識用戶和驗證用戶的密鑰。AccessKey泄露會威脅您資源的安全。操作審計幫助您監控AccessKey相關事件,以便您發現AccessKey使用異常時快速應對。
前提條件
請確保您已開通日志服務SLS。具體操作,請參見開通日志服務。
開通日志服務SLS不收費,操作審計將審計事件投遞到日志服務SLS,并使用其查詢和分析功能需要收費。具體計費標準,請參見計費概述。
背景信息
您可以使用操作審計直接查詢AccessKey相關事件,也可以將事件投遞到日志服務并對AccessKey相關事件設置告警。
查詢最近90天AccessKey相關事件:在操作審計控制臺事件查詢頁面,將篩選條件設置為AccessKey ID,查詢最近90天AccessKey相關事件。具體操作,請參見通過操作審計控制臺查詢事件。
查詢90天以上AccessKey相關事件:按照本文的操作步驟進行設置,查詢90天以上AccessKey相關事件并設置告警。
步驟一:創建跟蹤
以創建單賬號跟蹤為例,為您介紹如何創建跟蹤并將事件投遞到日志服務SLS。
登錄操作審計控制臺。
在左側導航欄,單擊跟蹤。
在頂部導航欄選擇您想創建單賬號跟蹤的地域。
說明該地域將成為單賬號跟蹤的Home地域,即創建跟蹤的地域。
在跟蹤頁面,單擊創建跟蹤。
在創建跟蹤頁面,設置跟蹤的相關參數。
在基本信息區域,設置日志事件。
參數
說明
跟蹤名稱
跟蹤的名稱。同一阿里云賬號中跟蹤名稱不能重復。
跟蹤事件
默認為管控事件。
在管控事件投遞區域。
事件讀寫類型選擇為所有事件。
勾選將事件投遞到日志服務SLS。
投遞賬號選擇為投遞到本賬號。
日志項目選擇創建新的日志項目后需要選擇日志庫所屬地域,并輸入新的日志項目名稱。
單擊確認。
步驟二:在日志服務SLS中查詢事件并設置告警
在操作審計控制臺,單擊跟蹤。
將鼠標懸浮到目標跟蹤存儲服務列的SLS或SLS&OSS,然后單擊SLS日志庫名稱。
在頁面右上角,單擊最近15分鐘,設置查詢的時間范圍。
在搜索框中輸入查詢語句:
event.userIdentity.accessKeyId: "<YourAccessKeyId>" | select count(1) as use_ak_<YourAccessKeyId>,然后單擊查詢/分析。說明<YourAccessKeyId>請替換為您自己的AccessKey ID。將事件另存為快速查詢或另存為告警。
圖標,輸入快速查詢名稱后,單擊確定。 
圖標,在告警監控規則面板配置相關參數,然后單擊確定。 執行結果
創建的快速查詢和告警均可在日志服務控制臺進行管理。
