シングルアカウントトレイルは、分析のために Object Storage Service (OSS)、Simple Log Service、または MaxCompute にイベントを配信できます。デフォルトでは、ActionTrail は過去 90 日間に Alibaba Cloud アカウント内で生成されたイベントを記録します。これらのイベントは、ActionTrail コンソールでクエリできます。 90 日以上前に生成されたイベントをクエリするには、これらのイベントを記録するためのトレイルを作成する必要があります。このトピックでは、ActionTrail コンソールでシングルアカウントトレイルを作成する方法について説明します。
背景情報
Alibaba Cloud アカウントを使用してトレイルを作成すると、ActionTrail は Alibaba Cloud アカウントおよびその RAM ユーザーに関連するイベントを OSS、Simple Log Service、または MaxCompute に配信します。 RAM ユーザーとしてトレイルを作成する場合は、RAM ユーザーにシングルアカウントトレイルを作成および管理する権限を付与する必要があります。詳細については、「RAM ユーザーに権限を付与する」をご参照ください。
ActionTrail では、複数のシングルアカウントトレイルを作成できます。シングルアカウントトレイルを作成して OSS バケットにイベントを配信すると、グローバルイベントは、トレイルが作成されたリージョンで生成されたイベントと同じディレクトリに記録されます。これは、グローバルイベントの重複記録を防ぐのに役立ちます。
手順
ActionTrail コンソール にログインします。
左側のナビゲーションウィンドウで、[トレイル] をクリックします。
上部のナビゲーションバーで、シングルアカウントトレイルを作成するリージョンを選択します。
説明選択したリージョンは、作成するトレイルのホームリージョンになります。
[トレイル] ページで、トレイルの作成 をクリックします。
[トレイルの作成] ページで、パラメーターを設定します。
基本情報
パラメーター
説明
トレイル名
トレイルの名前。これは Logstore の名前でもあります。
説明トレイル名は一意である必要があります。
トレイル設定
配信するイベントのカテゴリ。有効な値:
管理イベント:デフォルトでは、管理イベントが選択されています。配信する管理イベントの種類を選択できます。有効な値:
すべて:読み取りおよび書き込みイベント。監査関連の規制および標準では、すべてのイベントを記録する必要があります。[すべて] を選択することをお勧めします。
書き込み:クラウドリソースの作成、削除、または変更操作を記録するイベント。例:CreateInstance 操作を呼び出してサブスクリプションまたは従量課金制の Elastic Compute Service (ECS) インスタンスを作成するときに生成されるイベント。分析のためにイベントのみをエクスポートし、クラウドリソースに影響を与えるイベントのみに焦点を当てる場合は、[書き込み] を選択します。
読み取り:クラウドリソースの作成、削除、または変更ではなく、クラウドリソースに関する情報の読み取り操作を記録するイベント。例:DescribeInstances 操作を呼び出して 1 つ以上の ECS インスタンスの詳細をクエリするときに生成されるイベント。ほとんどの場合、多数の読み取りイベントが生成され、これらのイベントは大きなストレージ容量を占有します。ただし、監査関連の規制および標準では、すべてのイベントを記録する必要があります。読み取りイベントと書き込みイベントの両方を配信するようにトレイルを設定することをお勧めします。これは、AccessKey ペアの使用状況とクラウドリソースへのアクセスを追跡するのに役立ちます。
Insights イベント:ビジネス要件に基づいて Insights イベントを選択または選択解除します。Insights イベントを選択すると、管理イベントには [すべて] が選択されます。ActionTrail は管理イベントを分析し、API 呼び出し率、API エラー率、IP アドレス、AccessKey ペア呼び出し率、権限の変更、パスワードの変更、トレイルの隠蔽に関連する異常なアクティビティを特定し、Insights イベントを生成します。Insights イベントの詳細については、「Insights イベントの概要」をご参照ください。
説明デフォルトでは、ActionTrail コンソールでトレイルを作成すると、トレイルはすべてのリージョンでイベントを配信します。特定のリージョンでイベントを配信するトレイルを作成するには、CreateTrail 操作を呼び出します。この操作を呼び出すときは、ビジネス要件に基づいて TrailRegion を設定します。
イベント配信
Simple Log Service、OSS、MaxCompute、またはこれらのすべてのサービスにイベントを配信するトレイルを作成できます。ストレージサービスの選択方法の詳細については、「指定された Alibaba Cloud サービスにイベントを配信する」をご参照ください。
説明トレイルは、シングルアカウントトレイルが有効になった後に生成されたイベントのみを配信します。過去 90 日間に生成されたイベントは含まれません。データバックフィルタスクを作成して、過去 90 日間に生成されたイベントを一度にトレイルに指定した配信先に配信できます。詳細については、「データバックフィルタスクを作成する」をご参照ください。
Log Service に配信 を選択します。
[現在のアカウントへの配信] を選択した場合は、次の表に示すパラメーターを設定します。
パラメーター
説明
プロジェクト
イベントを配信するプロジェクト。
[新規プロジェクト]
[既存のプロジェクト]
Logstore のリージョン
Logstore が存在するリージョン。
プロジェクト名
プロジェクトの名前。
説明プロジェクト名はすべての Alibaba Cloud ユーザーで共有され、一意である必要があります。
新しい Log Service プロジェクト を選択すると、システムによってプロジェクトが自動的に作成されます。プロジェクトの名前を指定する必要があります。システムはまた、プロジェクトの Logstore も自動的に作成します。
既存の Log Service プロジェクト を選択すると、[プロジェクト名] ドロップダウンリストから既存のプロジェクトを選択する必要があります。
Simple Log Service でプロジェクトを作成する方法の詳細については、「はじめに」をご参照ください。
説明トレイルを作成して Simple Log Service にイベントを配信すると、
actiontrail_<トレイル名>
形式の名前を持つ Logstore が自動的に作成され、後続の監査のために最適に構成されます。イベントクエリを容易にするために、Logstore のインデックスとダッシュボードが作成されます。Logstore に手動でデータを書き込むことはできません。これにより、データの精度が保証されます。事前に Logstore を作成する必要はありません。
[別のアカウントへの配信] を選択した場合は、[プロジェクト ARN] パラメーターと [宛先アカウントの RAM ロールの ARN] パラメーターを設定します。
別のアカウントにイベントを配信するには、宛先アカウントを使用して RAM ロールを作成し、ActionTrail に宛先アカウントにイベントを配信する権限を付与してから、トレイルを作成する前にプロジェクトを作成する必要があります。詳細については、「複数の Alibaba Cloud アカウントのイベントを 1 つのアカウントに配信する」をご参照ください。
OSS に配信 を選択します。
[現在のアカウントへの配信] を選択した場合は、次の表に示すパラメーターを設定します。
パラメーター
説明
OSS バケット
イベントを配信するバケット。
[新規 OSS バケット]
[既存の OSS バケット]
バケット名
OSS バケットの名前。バケット名は、現在の Alibaba Cloud アカウント内で一意である必要があります。
[新規 OSS バケット] を選択した場合は、OSS バケット名を入力する必要があります。ActionTrail は、入力した名前で OSS バケットを作成します。
[既存の OSS バケット] を選択した場合は、[バケット名] ドロップダウンリストから既存のバケットを選択する必要があります。
OSS でバケットを作成する方法の詳細については、「バケットを作成する」をご参照ください。
重要中国本土内のリージョンにバケットを作成する前に、実名登録 ページで実名登録を完了する必要があります。
ログファイルのプレフィックス
配信されたイベントが格納されるログファイルの名前のプレフィックス。プレフィックスは、後続の操作でイベントを見つけるのに役立ちます。
サーバー暗号化
OSS バケット内のログファイルを暗号化するかどうか、および暗号化する方法を指定します。[新規 OSS バケット] を選択した場合は、このパラメーターを設定する必要があります。有効な値:
OSS によって完全に管理:OSS によって管理されるキーを使用して、バケット内のオブジェクトを暗号化します。OSS はデータキーを使用してオブジェクトを暗号化します。さらに、OSS は定期的にローテーションされるマスターキーを使用してデータキーを暗号化します。
KMS:Key Management Service (KMS) を使用してデータを暗号化します。KMS キーを使用するには、事前に KMS をアクティブ化する必要があります。詳細については、「KMS インスタンスを購入して有効にする」をご参照ください。
無効:サーバー側暗号化を無効にします。
保持ポリシー
保持ポリシーを有効にするかどうかを指定します。OSS は WORM 準拠ストレージをサポートしています。バケットに保持ポリシーが設定されると、保持期間中はバケット内に格納されているオブジェクトを削除または変更できません。有効な値:
無効(デフォルト)
有効
[別のアカウントへの配信] を選択した場合は、[OSS バケットの RAM ロールの ARN]、[バケット名]、および ログファイルのプレフィックス パラメーターを設定します。
別のアカウントにイベントを配信するには、宛先アカウントを使用して RAM ロールを作成し、ActionTrail に宛先アカウントにイベントを配信する権限を付与してから、トレイルを作成する前に OSS バケットを作成する必要があります。詳細については、「複数の Alibaba Cloud アカウントのイベントを 1 つのアカウントに配信する」をご参照ください。
[MaxCompute への配信] を選択します。
[現在のアカウントへの配信] を選択した場合は、次の表に示すパラメーターを設定します。
パラメーター
説明
Maxcompute リージョン
イベントを配信する MaxCompute プロジェクトのリージョン。
説明ActionTrail は、指定されたリージョンの actiontrail_<Alibaba Cloud アカウント ID> プロジェクトに監査ログを配信します。MaxCompute プロジェクトの名前と ID は一意です。現在のアカウントに actiontrail_<Alibaba Cloud アカウント ID> プロジェクトが存在する場合、ActionTrail はデフォルトで既存のプロジェクトに監査ログを配信します。
プロジェクトクォータ
コンピューティングジョブに提供される クォータ。
説明初めて MaxCompute にイベントを配信するトレイルを作成するときは、クォータを選択する必要があります。現在のリージョンでクォータが使用できない場合は、別のリージョンを選択してください。
[別のアカウントへの配信] を選択した場合は、[プロジェクト ARN] パラメーターと [maxcompute の RAM ロールの ARN] パラメーターを設定します。
別のアカウントにイベントを配信するには、宛先アカウントを使用して RAM ロールを作成し、ActionTrail に宛先アカウントにイベントを配信する権限を付与してから、トレイルを作成する前に MaxCompute プロジェクトを作成する必要があります。詳細については、「複数の Alibaba Cloud アカウントのイベントを 1 つのアカウントに配信する」をご参照ください。
[確認] をクリックします。
次の手順
シングルアカウントトレイルを作成すると、トレイルはイベントを JSON 形式で指定した Simple Log Service Logstore、OSS バケット、または MaxCompute テーブルに配信して、クエリと分析を行います。Simple Log Service Logstore、OSS バケット、または MaxCompute テーブルに格納されているイベントをクエリできます。
Simple Log Service コンソールでイベントをクエリする:ActionTrail は、
actiontrail_<トレイル名>
形式の名前を持つ Logstore を自動的に作成します。[トレイル] ページで、[ストレージサービス] 列に表示されているコンテンツにポインターを移動し、Logstore の名前をクリックします。OSS コンソールでイベントをクエリする:E-MapReduce (EMR) またはサードパーティのログ分析サービスを使用して、OSS に配信されたイベントを分析できます。
または、[トレイル] ページで、[ストレージサービス] 列に表示されているコンテンツにポインターを移動し、OSS バケットの名前をクリックします。次に、OSS バケットに配信されるイベントのストレージパスとは何ですか?」をご参照ください。
を選択します。OSS のストレージパスの詳細については、「MaxCompute コンソールでイベントをクエリする:ActionTrail は、actiontrail_<トレイル名> という名前のテーブルを自動的に作成します。[トレイル] ページで、[ストレージサービス] 列に表示されているコンテンツにポインターを移動し、MaxCompute プロジェクト名をクリックします。DataWorks を使用して、MaxCompute プロジェクト内の actiontrail_<トレイル名> テーブルのログデータをクエリします。