マルチアカウントトレイルは、リソースディレクトリ内のすべてのメンバーが生成したイベントを、Simple Log Service の Logstore、Object Storage Service (OSS) バケット、または MaxCompute テーブルに配信します。本トピックでは、ActionTrail コンソールでマルチアカウントトレイルを作成する手順について説明します。
前提条件
リソースディレクトリが有効化されています。詳細については、「リソースディレクトリの有効化」をご参照ください。
背景情報
操作手順
委任管理者アカウントまたは管理アカウントを使用して、ActionTrail コンソールにログインします。
委任管理者アカウントの設定方法については、「委任管理者アカウントの管理」をご参照ください。
左側のナビゲーションウィンドウで、トレイル をクリックします。
上部のナビゲーションバーで、マルチアカウントトレイルを作成するリージョンを選択します。
説明選択したリージョンは、作成するトレイルのホームリージョンになります。
トレイル ページで、トレイルの作成 をクリックします。
トレイルの作成 ページで、パラメーターを設定します。
基本情報
パラメーター
説明
トレイル名
作成するトレイルの名前です。この名前は、Alibaba Cloud アカウント内で一意である必要があります。また、配信されたイベントを保存する Logstore の名前としても使用されます。
actiontrail_<トレイル名>の形式で指定してください。イベントの記録
配信対象のイベントのカテゴリです。デフォルトでは「管理イベント」が選択されています。システムは、クラウドリソースに対する管理操作を記録する管理イベントを配信します。
配信する管理イベントの種類を選択できます。有効な値は以下のとおりです。
すべて:読み取りおよび書き込みのすべてのイベント。監査関連の規制および基準では、すべてのイベントを記録することが義務付けられています。そのため、すべて を選択することを推奨します。
書き込み:クラウドリソースの作成、削除、変更などの操作を記録するイベントです。例:従量課金またはサブスクリプションの Elastic Compute Service (ECS) インスタンスを作成するために CreateInstance 操作を呼び出した際に生成されるイベントです。分析目的でのみイベントをエクスポートし、クラウドリソースに影響を与えるイベントにのみ注力する場合は、書き込み を選択してください。
読み取り:クラウドリソースに関する情報を読み取る操作(クラウドリソースの作成、削除、変更ではない)を記録するイベントです。例:1 つ以上の ECS インスタンスの詳細を照会するために DescribeInstances 操作を呼び出した際に生成されるイベントです。通常、多数の読み取りイベントが生成され、これらは大量のストレージ容量を占めます。ただし、監査関連の規制および基準では、すべてのイベントを記録することが義務付けられています。そのため、読み取りおよび書き込みの両方のイベントを配信するトレイルを設定することを推奨します。これにより、AccessKey ペアの使用状況およびクラウドリソースへのアクセス状況を追跡できます。
説明デフォルトでは、ActionTrail コンソールでトレイルを作成すると、すべてのリージョンで生成されたイベントが配信されます。特定のリージョンで生成されたイベントのみを配信するトレイルを作成するには、CreateTrail 操作を呼び出します。この操作を呼び出す際には、ビジネス要件に応じて TrailRegion を設定します。
すべてのメンバーにトレイルを適用
トレイルの適用範囲です。有効な値は以下のとおりです。
はい:このオプションを選択すると、トレイルは管理アカウントおよびリソースディレクトリ内のすべてのメンバーが生成したイベントをストレージサービスに配信します。この場合、マルチアカウントトレイルが作成されます。すべてのイベントが確実に配信されるようにするため、このオプションを選択することを推奨します。
いいえ:このオプションを選択すると、トレイルは現在のアカウントが生成したイベントのみをストレージサービスに配信します。この場合、シングルアカウントトレイルが作成されます。
説明このパラメーターを設定後は、変更できません。必要に応じて すべてのメンバーにトレイルを適用 の値を変更する場合は、マルチアカウントトレイルを削除してから新しいトレイルを作成してください。
マルチアカウントトレイルを作成すると、[マルチアカウントトレイル] が [トレイルタイプ] 列に、[トレイル] ページに表示されます。
イベントの配信
Simple Log Service、OSS、MaxCompute、またはこれらのすべてのサービスにイベントを配信するトレイルを作成できます。ストレージサービスの選択方法については、「指定された Alibaba Cloud サービスへのイベント配信」をご参照ください。
説明トレイルは、マルチアカウントトレイルが有効化されて以降に生成されたイベントのみを配信します。過去 90 日間に生成されたイベントは除外されます。過去 90 日間に生成されたイベントを、トレイルの配信先に一度に配信するデータバックフィルタスクを作成できます。詳細については、「データバックフィルタスクの作成」をご参照ください。
Log Service に配信 を選択します。
現在のアカウントへの配信 を選択した場合、以下の表に示すパラメーターを設定します。
パラメーター
説明
プロジェクト
イベントを配信するプロジェクトです。
新規プロジェクト
既存のプロジェクト
Logstore のリージョン
Logstore が存在するリージョンです。
プロジェクト名
プロジェクトの名前です。
説明プロジェクト名はすべての Alibaba Cloud ユーザー間で共有され、一意である必要があります。
新しい Log Service プロジェクト を選択した場合、システムが自動的にプロジェクトを作成します。プロジェクト名を指定する必要があります。また、システムはプロジェクト用の Logstore も自動的に作成します。
既存の Log Service プロジェクト を選択した場合、プロジェクト名のドロップダウンリストから既存のプロジェクトを選択する必要があります。
説明別のアカウントへの配信 を選択した場合、プロジェクト ARN および 宛先アカウントの RAM ロール ARN を設定します。
別のアカウントへのイベント配信を行うには、宛先アカウントを使用して RAM ロールを作成し、ActionTrail が宛先アカウントへイベントを配信できるよう権限を付与したうえで、トレイルの作成前にプロジェクトを作成する必要があります。詳細については、「リソースディレクトリ内の複数のメンバーのイベントを 1 つのアカウントに配信する」をご参照ください。
OSS に配信 を選択します。
現在のアカウントへの配信 を選択した場合、以下の表に示すパラメーターを設定します。
パラメーター
説明
OSS バケット
イベントを配信するバケットです。
新規 OSS バケット
既存の OSS バケット
バケット名
OSS バケットの名前です。この名前は、現在の Alibaba Cloud アカウント内で一意である必要があります。
新規 OSS バケット を選択した場合、OSS バケット名を入力する必要があります。ActionTrail は、入力した名前で OSS バケットを作成します。
既存の OSS バケット を選択した場合、バケット名のドロップダウンリストから既存のバケットを選択する必要があります。
重要中国本土内のリージョンでバケットを作成するには、事前に 実名登録 ページで実名登録を完了する必要があります。
ログファイルのプレフィックス
配信されたイベントが格納されるログファイルの名前のプレフィックスです。このプレフィックスにより、後続の操作でイベントを容易に検索できます。
サーバー暗号化
OSS バケット内のログファイルを暗号化するかどうか、およびその方法を指定します。新規 OSS バケット を選択した場合、このパラメーターを設定する必要があります。有効な値は以下のとおりです。
無効
OSS による完全マネージド
KMS
説明OSS のサーバ側暗号化機能の詳細については、「サーバ側暗号化」をご参照ください。
保持ポリシー
OSS バケットに対して保持ポリシーを設定し、データが削除または変更されるのを防ぐかどうかを指定します。
有効な値は以下のとおりです。
無効
有効
別のアカウントへの配信 を選択した場合、OSS バケットの RAM ロール ARN、バケット名、および ログファイルのプレフィックス を設定します。
別のアカウントへのイベント配信を行うには、宛先アカウントを使用して RAM ロールを作成し、ActionTrail が宛先アカウントへイベントを配信できるよう権限を付与したうえで、トレイルの作成前に OSS バケットを作成する必要があります。詳細については、「リソースディレクトリ内の複数のメンバーのイベントを 1 つのアカウントに配信する」をご参照ください。
MaxCompute への配信 を選択します。
現在のアカウントへの配信 を選択した場合、以下の表に示すパラメーターを設定します。
パラメーター
説明
MaxCompute リージョン
イベントを配信する MaxCompute プロジェクトのリージョンです。
説明ActionTrail は、指定されたリージョン内の actiontrail_<Alibaba Cloud アカウント ID> プロジェクトに監査ログを配信します。MaxCompute プロジェクトの名前および ID は一意です。現在のアカウントに actiontrail_<Alibaba Cloud アカウント ID> プロジェクトが存在する場合、ActionTrail はデフォルトで既存のプロジェクトに監査ログを配信します。
プロジェクトクォータ
クォータ は、コンピューティングジョブに提供されるものです。
説明初めて MaxCompute へのイベント配信を目的としてトレイルを作成する場合、クォータを選択する必要があります。現在のリージョンに利用可能なクォータがない場合は、別のリージョンを選択してください。
別のアカウントへの配信 を選択した場合、プロジェクト ARN および MaxCompute の RAM ロール ARN を設定します。
別のアカウントへのイベント配信を行うには、宛先アカウントを使用して RAM ロールを作成し、ActionTrail が宛先アカウントへイベントを配信できるよう権限を付与したうえで、トレイルの作成前に MaxCompute プロジェクトを作成する必要があります。詳細については、「複数の Alibaba Cloud アカウントのイベントを 1 つのアカウントに配信する」をご参照ください。
確認 をクリックします。
次のステップ
マルチアカウントトレイルを作成後、トレイルは指定した Simple Log Service の Logstore、OSS バケット、または MaxCompute テーブルに、クエリおよび分析用の JSON 形式でイベントを配信します。管理アカウントを使用して、Simple Log Service の Logstore、OSS バケット、または MaxCompute テーブルに格納されたイベントをクエリできます。
管理アカウントを使用してリソースディレクトリ内のメンバーのイベントをクエリできるのは、OSS、Simple Log Service、または MaxCompute のみです。ActionTrail コンソールの イベント詳細のクエリ ページや、LookupEvents 操作の呼び出しによっては、メンバーのイベントをクエリできません。
OSS コンソールでイベントをクエリする:メンバー内で生成されたグローバルイベントは、トレイルのホームリージョンで生成されたイベントとともに配信されます。特定のリージョンのリソースに対して生成された非グローバルイベントは、該当するリージョン ID を含む対応するストレージパスに配信されます。E-MapReduce (EMR) またはサードパーティのログ分析サービスを使用して、イベントを分析できます。
MaxCompute コンソールでイベントをクエリする:ActionTrail は、actiontrail_<トレイル名> という名前のテーブルを自動的に作成します。トレイル ページで、ストレージサービス 列に表示される内容にポインターを合わせ、MaxCompute プロジェクト名をクリックします。その後、DataWorks を使用して、MaxCompute プロジェクト内の actiontrail_<トレイル名> テーブルのログデータをクエリします。
参考文献
トレイルを作成後、必要なストレージサービスでメンバーのイベントをクエリできます。詳細については、「Simple Log Service または OSS コンソールでのイベントクエリ」をご参照ください。
Simple Log Service へのイベント配信を目的としてトレイルを作成する場合、イベント高度照会機能を使用してメンバーのイベントをクエリできます。詳細については、「カスタムイベントクエリの実行」をご参照ください。