すべてのプロダクト
Search

このプロダクト

    ActionTrail:マルチアカウントトレイルを作成する

    ドキュメントセンター

    ActionTrail:マルチアカウントトレイルを作成する

    最終更新日:Jan 17, 2025

    マルチアカウントトレイルは、リソースディレクトリ内のすべてのメンバーのイベントを Simple Log Service Logstore、Object Storage Service (OSS) バケット、または MaxCompute テーブルに配信します。このトピックでは、ActionTrail コンソールでマルチアカウントトレイルを作成する方法について説明します。

    前提条件

    リソースディレクトリが有効になっています。詳細については、「リソースディレクトリを有効にする」をご参照ください。

    背景情報

    手順

    1. 委任された管理者アカウントまたは管理アカウントを使用して、ActionTrail コンソール にログオンします。

      委任された管理者アカウントを設定する方法の詳細については、「委任された管理者アカウントを管理する」をご参照ください。

    2. 左側のナビゲーションウィンドウで、[トレイル] をクリックします。

    3. 上部のナビゲーションバーで、マルチアカウントトレイルを作成するリージョンを選択します。

      説明

      選択したリージョンは、作成するトレイルのホームリージョンになります。

    4. [トレイル] ページで、トレイルの作成 をクリックします。

    5. [トレイルの作成] ページで、パラメータを設定します。

      • 基本情報

        パラメータ

        説明

        トレイル名

        作成するトレイルの名前。名前は Alibaba Cloud アカウント内で一意である必要があります。この名前は、配信されたイベントを保存する Logstore に使用されます。actiontrail_<トレイル名> 形式で名前を指定します。

        ログイベント

        配信するイベントのカテゴリ。デフォルトでは、管理イベントが選択されています。システムは、クラウドリソースに対する管理操作を記録する管理イベントを配信します。

        配信する管理イベントのタイプを選択できます。有効な値:

        • [すべて]:すべての読み取りおよび書き込みイベント。監査関連の規制および標準では、すべてのイベントを記録する必要があります。[すべて] を選択することをお勧めします。

        • [書き込み]:クラウドリソースの作成、削除、または変更操作を記録するイベント。例:CreateInstance 操作を呼び出してサブスクリプションまたは従量課金制の Elastic Compute Service (ECS) インスタンスを作成するときに生成されるイベント。分析のためにイベントをエクスポートする必要がある場合、かつクラウドリソースに影響を与えるイベントのみに焦点を当てる必要がある場合は、[書き込み] を選択します。

        • [読み取り]:クラウドリソースの作成、削除、または変更ではなく、クラウドリソースに関する情報の読み取り操作を記録するイベント。例:DescribeInstances 操作を呼び出して 1 つ以上の ECS インスタンスの詳細を照会するときに生成されるイベント。ほとんどの場合、多数の読み取りイベントが生成され、これらのイベントは大きなストレージ容量を占有します。ただし、監査関連の規制および標準では、すべてのイベントを記録する必要があります。読み取りイベントと書き込みイベントの両方を配信するようにトレイルを設定することをお勧めします。これは、AccessKey ペアの使用状況とクラウドリソースへのアクセスを追跡するのに役立ちます。

        説明

        デフォルトでは、ActionTrail コンソールでトレイルを作成すると、トレイルはすべてのリージョンのイベントを配信します。特定のリージョンのイベントを配信するトレイルを作成するには、CreateTrail 操作を呼び出します。操作を呼び出すときは、ビジネス要件に基づいて TrailRegion を設定します。

        すべてのメンバーにトレイルを適用

        トレイルの適用範囲。有効な値:

        • はい:このオプションを選択すると、トレイルは管理アカウントとリソースディレクトリ内のすべてのメンバーのイベントをストレージサービスに配信します。この場合、マルチアカウントトレイルが作成されます。すべてのイベントが確実に配信されるように、このオプションを選択することをお勧めします。

        • いいえ:このオプションを選択すると、トレイルは現在のアカウントのイベントのみをストレージサービスに配信します。この場合、シングルアカウントトレイルが作成されます。

        説明

        • このパラメータを設定した後は、変更できません。[すべてのメンバーにトレイルを適用] パラメータの値を変更する必要がある場合は、マルチアカウントトレイルを削除して別のトレイルを作成します。

        • マルチアカウントトレイルを作成した後、[トレイル] ページの [トレイルタイプ] 列に [マルチアカウントトレイル] と表示されます。

      • イベント配信

        Simple Log Service、OSS、MaxCompute、またはこれらのすべてのサービスにイベントを配信するトレイルを作成できます。ストレージサービスを選択する方法の詳細については、「指定された Alibaba Cloud サービスにイベントを配信する」をご参照ください。

        説明

        トレイルは、マルチアカウントトレイルが有効になった後に生成されたイベントのみを配信します。過去 90 日間に生成されたイベントは除外されます。過去 90 日間に生成されたイベントを、一度にトレイルに指定した配信先に配信するデータバックフィルタスクを作成できます。詳細については、「データバックフィルタスクを作成する」をご参照ください。

        • Log Service に配信 を選択します。

          • [現在のアカウントへの配信] を選択した場合は、次の表に示すパラメータを設定します。

            パラメータ

            説明

            プロジェクト

            イベントを配信するプロジェクト。

            • [新規プロジェクト]

            • [既存のプロジェクト]

            Logstore のリージョン

            Logstore が存在するリージョン。

            プロジェクト名

            プロジェクトの名前。

            説明

            プロジェクト名はすべての Alibaba Cloud ユーザーで共有され、一意である必要があります。

            • 新しい Log Service プロジェクト を選択すると、システムによってプロジェクトが自動的に作成されます。プロジェクトの名前を指定する必要があります。システムはまた、プロジェクトの Logstore も自動的に作成します。

            • 既存の Log Service プロジェクト を選択すると、[プロジェクト名] ドロップダウンリストから既存のプロジェクトを選択する必要があります。

            説明

            Simple Log Service にイベントを配信するトレイルを作成すると、actiontrail_<トレイル名> 形式の名前を持つ Logstore が自動的に作成され、後続の監査のために最適に構成されます。イベントクエリを容易にするために、Logstore のインデックスとダッシュボードが作成されます。Logstore に手動でデータを書き込むことはできません。これにより、データの精度が保証されます。事前に Logstore を作成する必要はありません。

          • [別のアカウントへの配信] を選択した場合は、[プロジェクト ARN] パラメータと [宛先アカウントの RAM ロール ARN] パラメータを設定します。

            別のアカウントにイベントを配信するには、宛先アカウントを使用して RAM ロールを作成し、ActionTrail に宛先アカウントにイベントを配信する権限を付与してから、トレイルを作成する前にプロジェクトを作成する必要があります。詳細については、「リソースディレクトリ内の複数のメンバーのイベントを 1 つのアカウントに配信する」をご参照ください。

        • OSS に配信 を選択します。

          • [現在のアカウントへの配信] を選択した場合は、次の表に示すパラメータを設定します。

            パラメータ

            説明

            OSS バケット

            イベントを配信するバケット。

            • [新規 OSS バケット]

            • [既存の OSS バケット]

            バケット名

            OSS バケットの名前。バケット名は、現在の Alibaba Cloud アカウント内で一意である必要があります。

            • [新規 OSS バケット] を選択した場合は、OSS バケット名を入力する必要があります。ActionTrail は、入力した名前で OSS バケットを作成します。

            • [既存の OSS バケット] を選択した場合は、[バケット名] ドロップダウンリストから既存のバケットを選択する必要があります。

            重要

            中国本土内のリージョンにバケットを作成する前に、実名登録 ページで実名登録を完了する必要があります。

            ログファイルのプレフィックス

            配信されたイベントが保存されるログファイルの名前のプレフィックス。プレフィックスは、後続の操作でイベントを見つけるのに役立ちます。

            サーバー暗号化

            OSS バケット内のログファイルを暗号化するかどうか、および暗号化する方法を指定します。[新規 OSS バケット] を選択した場合は、このパラメータを設定する必要があります。有効な値:

            • [無効]

            • [OSS による完全管理]

            • [KMS]

            説明

            OSS のサーバー側暗号化機能の詳細については、「サーバー側暗号化」をご参照ください。

            保持ポリシー

            データの削除や変更を防ぐために、OSS バケットの保持ポリシーを設定するかどうかを指定します。

            有効な値:

            • [無効]

            • [有効]

          • [別のアカウントへの配信] を選択した場合は、[OSS バケットの RAM ロール ARN] パラメータ、[バケット名] パラメータ、および ログファイルのプレフィックス パラメータを設定します。

            別のアカウントにイベントを配信するには、宛先アカウントを使用して RAM ロールを作成し、ActionTrail に宛先アカウントにイベントを配信する権限を付与してから、トレイルを作成する前に OSS バケットを作成する必要があります。詳細については、「リソースディレクトリ内の複数のメンバーのイベントを 1 つのアカウントに配信する」をご参照ください。

        • MaxCompute への配信 を選択します。

          • [現在のアカウントへの配信] を選択した場合は、次の表に示すパラメータを設定します。

            パラメータ

            説明

            Maxcompute リージョン

            イベントを配信する MaxCompute プロジェクトのリージョン。

            説明

            ActionTrail は、指定されたリージョンの actiontrail_<Alibaba Cloud アカウント ID> プロジェクトに監査ログを配信します。MaxCompute プロジェクトの名前と ID は一意です。現在のアカウントに actiontrail_<Alibaba Cloud アカウント ID> プロジェクトが存在する場合、ActionTrail はデフォルトで既存のプロジェクトに監査ログを配信します。

            プロジェクトクォータ

            コンピューティングジョブに提供される クォータ

            説明

            MaxCompute にイベントを配信するトレイルを初めて作成するときは、クォータを選択する必要があります。現在のリージョンで利用可能なクォータがない場合は、別のリージョンを選択してください。

          • [別のアカウントへの配信] を選択した場合は、[プロジェクト ARN] パラメータと [maxcompute の RAM ロール ARN] パラメータを設定します。

            別のアカウントにイベントを配信するには、宛先アカウントを使用して RAM ロールを作成し、ActionTrail に宛先アカウントにイベントを配信する権限を付与してから、トレイルを作成する前に MaxCompute プロジェクトを作成する必要があります。詳細については、「複数の Alibaba Cloud アカウントのイベントを 1 つのアカウントに配信する」をご参照ください。

    6. [確認] をクリックします。

    次の手順

    マルチアカウントトレイルを作成すると、トレイルは JSON 形式で指定した Simple Log Service Logstore、OSS バケット、または MaxCompute テーブルにイベントを配信して、クエリと分析を行います。管理アカウントを使用して、Simple Log Service Logstore、OSS バケット、または MaxCompute テーブルに保存されているイベントを照会できます。

    説明

    管理アカウントを使用してリソースディレクトリ内のメンバーのイベントを照会できるのは、OSS、Simple Log Service、または MaxCompute 内のみです。管理アカウントを使用して、ActionTrail コンソールの イベント詳細のクエリ ページで、または LookupEvents 操作を呼び出すことによって、イベントを照会することはできません。

    • Simple Log Service コンソールでイベントを照会する:ActionTrail は、actiontrail_<トレイル名> 形式の名前を持つ Logstore を自動的に作成します。[トレイル] ページで、[ストレージサービス] 列に表示されているコンテンツにポインタを移動し、Logstore の名前をクリックします。

    • OSS コンソールでイベントを照会する:メンバー内で生成されたグローバルイベントは、トレイルのホームリージョンで生成されたイベントとともに配信されます。特定のリージョンのリソースに対して生成された非グローバルイベントは、特定のリージョン ID を持つ対応するストレージパスに配信されます。E-MapReduce (EMR) またはサードパーティのログ分析サービスを使用してイベントを分析できます。

      または、[トレイル] ページで、[ストレージサービス] 列に表示されているコンテンツにポインタを移動し、OSS バケットの名前をクリックします。次に、[オブジェクト管理] > [オブジェクト] を選択します。OSS のストレージパスの詳細については、「OSS バケットに配信されるイベントのストレージパスとは何ですか?」をご参照ください。

    • MaxCompute コンソールでイベントを照会する:ActionTrail は、actiontrail_<トレイル名> という名前のテーブルを自動的に作成します。[トレイル] ページで、[ストレージサービス] 列に表示されているコンテンツにポインタを移動し、MaxCompute プロジェクト名をクリックします。DataWorks を使用して、MaxCompute プロジェクト内の actiontrail_<トレイル名> テーブルのログデータを照会します。

    参照