阿里雲帳號是阿里雲資源歸屬、資源使用計量計費的基本主體。阿里雲帳號泄露會威脅您所有資源的安全。您可以使用Action Trail建立跟蹤,將事件投遞到Log ServiceSLS,從而實現對阿里雲帳號的監控和警示。
前提條件
請確保您已開通Log ServiceSLS。
當您首次使用Log ServiceSLS時,需要登入Log Service控制台,根據頁面提示開通Log ServiceSLS。
步驟一:建立跟蹤
以建立單帳號跟蹤為例,為您介紹如何建立跟蹤並將事件投遞到Log ServiceSLS。
在左側導覽列,單擊跟蹤。
在頂部導覽列選擇您想建立單帳號跟蹤的地區。
說明該地區將成為單帳號跟蹤的Home地區,即建立跟蹤的地區。
在跟蹤頁面,單擊创建跟踪。
在创建跟踪頁面,設定跟蹤的相關參數。
在基本資料地區,設定日誌事件。
參數
說明
跟踪名称
跟蹤的名稱。同一阿里雲帳號中跟蹤名稱不能重複。
跟蹤配置
將管控事件設定為所有事件。
在審計事件投遞地區,選擇將事件投遞到本帳號的新建立的記錄項目中。您需要日誌庫所屬地區,並輸入新的記錄項目名稱。
單擊確認。
步驟二:在Log ServiceSLS中查詢事件並設定警示
在Action Trail控制台,單擊跟蹤。
將滑鼠懸浮到目標跟蹤儲存服務列的SLS或SLS&OSS,然後單擊SLS日誌庫名稱。
在頁面右上方,單擊最近15分鐘,設定查詢的時間範圍。
在搜尋方塊中輸入查詢語句:
event.userIdentity.type:"root-account"| select count(1) as use_root
,然後單擊查詢/分析。將日誌另存新檔快速查詢或另存新檔警示。
執行結果
建立的快速查詢和警示均可在Log Service控制台進行管理。