通過(guò)日志服務(wù)SLS存儲(chǔ)和查詢Insights事件
Insights會(huì)借助數(shù)學(xué)模型智能分析您賬號(hào)中的管控事件,幫助您發(fā)現(xiàn)異常行為。開(kāi)通Insights事件后,操作審計(jì)將基于管控事件識(shí)別存在風(fēng)險(xiǎn)的API調(diào)用事件、API錯(cuò)誤事件、IP請(qǐng)求事件及AccessKey調(diào)用事件等并生成Insights事件。本文以查詢非常用IP事件為例,為您介紹如何通過(guò)SLS存儲(chǔ)和查詢Inisghts事件。
前提條件
請(qǐng)確保您已開(kāi)通Insights事件。具體操作,請(qǐng)參見(jiàn)開(kāi)通Insights事件。
在開(kāi)通Insights事件功能后,操作審計(jì)會(huì)在至少24小時(shí)后為您產(chǎn)生第一條Insights事件。
步驟一:創(chuàng)建跟蹤
如果當(dāng)前賬號(hào)已存在符合以下條件的跟蹤,則無(wú)需重新創(chuàng)建跟蹤,只需更新跟蹤投遞的事件類(lèi)型,將Insights事件選中保存即可。
單賬號(hào)跟蹤。
跟蹤地域?yàn)樗械赜颉?/p>
跟蹤投遞事件的存儲(chǔ)服務(wù)包含SLS。
如果當(dāng)前賬號(hào)未創(chuàng)建跟蹤或沒(méi)有符合條件的跟蹤,請(qǐng)按照以下步驟創(chuàng)建跟蹤:
在左側(cè)導(dǎo)航欄,單擊跟蹤。
在頂部導(dǎo)航欄選擇您想創(chuàng)建單賬號(hào)跟蹤的地域。
說(shuō)明該地域?qū)⒊蔀閱钨~號(hào)跟蹤的Home地域,即創(chuàng)建跟蹤的地域。
在跟蹤頁(yè)面,單擊創(chuàng)建跟蹤。
在創(chuàng)建跟蹤頁(yè)面,設(shè)置跟蹤的相關(guān)參數(shù)。
基本信息
參數(shù)
說(shuō)明
跟蹤名稱(chēng)
跟蹤的名稱(chēng),該名稱(chēng)將用于在SLS中對(duì)Logstore命名。
說(shuō)明跟蹤名稱(chēng)不可重復(fù)。
跟蹤配置
跟蹤投遞的事件。取值:
管控事件:系統(tǒng)默認(rèn)選中管控事件,事件類(lèi)型選擇所有事件。
Insights事件:選中Insights事件。
審計(jì)事件投遞:選擇將事件投遞到日志服務(wù)SLS。
選擇投遞到本賬號(hào),設(shè)置如下參數(shù)。
參數(shù)
描述
日志項(xiàng)目
選擇事件投遞到日志服務(wù)SLS的日志項(xiàng)目方式。
創(chuàng)建新的日志項(xiàng)目
選擇已有的日志項(xiàng)目
日志庫(kù)所屬地域
日志項(xiàng)目所在地域。
日志項(xiàng)目名稱(chēng)
日志服務(wù)SLS中日志項(xiàng)目的名稱(chēng)。
說(shuō)明日志項(xiàng)目名稱(chēng)為所有阿里云用戶共用,不可重復(fù)。
當(dāng)您選中創(chuàng)建新的日志項(xiàng)目時(shí),將通過(guò)操作審計(jì)控制臺(tái)新建日志項(xiàng)目,輸入日志項(xiàng)目名稱(chēng)。
當(dāng)您選中選擇已有的日志項(xiàng)目時(shí),在日志服務(wù)SLS中選擇已有的日志項(xiàng)目名稱(chēng)。關(guān)于如何在日志服務(wù)SLS中新建日志項(xiàng)目,請(qǐng)參見(jiàn)快速入門(mén)。
說(shuō)明跟蹤創(chuàng)建成功后,操作審計(jì)會(huì)自動(dòng)創(chuàng)建名為actiontrail_<跟蹤名稱(chēng)>和insights_<跟蹤名稱(chēng)>,分別存儲(chǔ)管控事件和insights事件。Lostore會(huì)自動(dòng)幫您設(shè)置審計(jì)最佳配置,創(chuàng)建查詢所需索引和儀表盤(pán),并禁止用戶寫(xiě)入,保證審計(jì)數(shù)據(jù)的準(zhǔn)確性,您無(wú)需提前創(chuàng)建Logstore。
選擇投遞到其他賬號(hào),設(shè)置日志項(xiàng)目ARN和日志寫(xiě)入角色ARN。
選擇投遞到其他賬號(hào)時(shí)需要先在目標(biāo)賬號(hào)中創(chuàng)建RAM角色,授予操作審計(jì)服務(wù)向目標(biāo)賬號(hào)投遞事件的權(quán)限,并提前創(chuàng)建日志項(xiàng)目。具體操作,請(qǐng)參見(jiàn)將多個(gè)阿里云賬號(hào)的事件投遞到同一賬號(hào)。
單擊確認(rèn)。
步驟二:在日志服務(wù)SLS中查詢Insjghts事件
在Project列表區(qū)域,單擊目標(biāo)Project名稱(chēng)。
在左側(cè)日志庫(kù)列表,單擊insights_<跟蹤名稱(chēng)>,然后單擊右上角的最近15分鐘,設(shè)置查詢的時(shí)間范圍。
在搜索框中輸入以下SQL語(yǔ)句,然后單擊查詢/分析,查詢非常用IP事件的事件詳情。
event.insightDetails.insightType:IpInsight
說(shuō)明關(guān)于操作審計(jì)當(dāng)前支持的Insights事件類(lèi)型詳情,請(qǐng)參見(jiàn)Insights事件類(lèi)型。
您還可以通過(guò)以下SQL語(yǔ)句可查詢指定時(shí)間范圍內(nèi)所有Insights事件的信息。
* | select from_unixtime(__time__) as eventTime,"event.insightDetails.insightType", "event.acsRegion" as eventRegion, "event.insightDetails.insightObject" as insightObject order by eventtime desc