カスタムイベントクエリを実行するための ActionTrail の使用 - ActionTrail

複数リージョンで 90 日以上前に生成されたイベントをクエリする場合、フィルタリング条件または SQL ステートメントを設定してカスタムイベントクエリを実行できます。このトピックでは、ActionTrail コンソールでカスタムイベントクエリを実行する方法について説明します。

前提条件

トレイルが作成され、イベントが Simple Log Service に配信されます。詳細については、「シングルアカウントトレイルの作成」または「マルチアカウントトレイルの作成」をご参照ください。

シナリオ

カスタムイベントクエリは、シンプルクエリモードまたは SQL クエリモードで実行できます。シンプルクエリモードでは、視覚的にイベントをクエリできます。SQL クエリモードでは、シンプルクエリモードの条件から変換された SQL ステートメントに基づいてイベントをクエリできます。

モード	クエリメソッド	説明	例
シンプルクエリ	単一条件クエリ	サービス名、リージョン、イベント名、アカウントタイプ、読み取り/書き込みタイプ、リソース名、リソースタイプ、オペレーターなどのフィルター条件を使用してイベントをクエリできます。	特定の期間内に Key Management Service ( KMS ) のすべてのイベントをクエリするには、[サービス名] を [key Management Service ( Kms )] に設定します。
シンプルクエリ	複数条件クエリ	1 つのサービスに対して複数のサービスまたはリージョンを指定してイベントをクエリできます。	中国 ( 杭州 ) リージョンと中国 ( 上海 ) リージョンで生成された KMS イベントをクエリするには、[サービス名] を [key Management Service ( Kms )] に設定し、[リージョン] を [中国 ( 杭州 )] と [中国 ( 上海 )] に設定します。
SQL クエリ	キーワードベースのクエリ	ビジネス要件に基づいて、テキストボックスにキーワードを入力できます。	すべての書き込みイベントをクエリするには、テキストボックスに `* AND event.eventRW: Write` と入力します。
	単一条件クエリ	Who 、What 、Which 、Where 、または Other カテゴリでフィルター条件を指定してイベントをクエリできます。	特定の期間内に KMS のすべてのイベントをクエリするには、テキストボックスに `* AND event.serviceName: Kms` と入力します。
	複数条件クエリ	Who 、What 、Which 、Where 、および Other カテゴリで複数のフィルター条件を指定してイベントをクエリできます。	ActionTrail でユーザー Alex によって実行された操作に対して生成されたイベントをクエリするには、テキストボックスに `* AND event.serviceName: Actiontrail AND event.userIdentity.userName: Alex` と入力します。
	NOT 演算子ベースのクエリ	複数のフィルター条件を指定し、除外するフィルター条件の前にある演算子を NOT に変更できます。	ActionTrail で Alex 以外のすべてのユーザーによって実行された操作に対して生成されたイベントをクエリするには、テキストボックスに `* AND event.serviceName: Actiontrail NOT event.userIdentity.userName: Alex` と入力します。

手順

ActionTrail コンソールにログインします。
左側のナビゲーションウィンドウで、[イベント] > [高度なイベントクエリ] を選択します。
[クエリ範囲] セクションで、[トレイル] ドロップダウンリストから作成したトレイルを選択します。
[カスタムテンプレート] ページの [デフォルト] タブで、クエリ条件を設定します。
- シンプルクエリ
  [シンプルモード] で、プロンプトに従ってクエリ条件を設定します。
- SQL クエリ
  [シンプルモード] をオフにして、SQL ステートメントを指定します。
  説明
  - 高度なイベントクエリの SQL 構文とサンプルクエリの詳細については、「高度なイベントクエリにおける SQL ステートメント」をご参照ください。
  - シンプルクエリモードがビジネス要件を満たせない場合は、SQL クエリモードを使用します。この場合、[シンプルモード] でプロンプトに従ってクエリ条件を設定し、[シンプルモード] をオフにすることができます。[シンプルモード] で設定されたクエリ条件は、自動的に SQL ステートメントに変換されます。その後、カスタム SQL ステートメントを設定できます。
イベントをクエリする時間範囲を指定し、[実行] をクリックします。
説明
- デフォルトでは、ActionTrail は 7 日以内のイベントをクエリします。
- タブの右側にある [イベントアラート] をクリックして、現在のイベントのアラートを設定できます。詳細については、「カスタムアラートルールの作成」をご参照ください。
- システムテンプレートのデフォルトの SQL ステートメントを変更し、[保存] をクリックして、テンプレートをカスタムテンプレートとして保存し、後続のタスクで再利用できます。
クエリ結果を表示します。
- 生のログ
  [生のログ] タブで、表示するイベントを見つけ、[アクション] 列の [イベントの詳細を表示] をクリックして、イベントの基本情報と JSON 形式を表示します。
- ヒストグラム
  [クエリヒストグラム] タブで、イベントのヒストグラムを表示します。

参照

システムテンプレートを使用して、アカウント関連または AccessKey ペア関連のイベント、Center for Internet Security ( CIS ) 関連のイベント、またはリソースライフサイクル関連のイベントをクエリできます。詳細については、「Alibaba Cloud アカウントまたは AccessKey ペアのイベントのクエリ」、「CIS ベンチマークに関連するイベントのクエリ」、および「リソースライフサイクルイベントのクエリ」をご参照ください。
90 日以上前に生成されたイベントをクエリできます。詳細については、「Simple Log Service または OSS コンソールでのイベントのクエリ」をご参照ください。