當您需要查詢多個地區超過90天的事件時,可以通過自訂查詢功能設定篩選條件或SQL語句查詢事件。本文為您介紹如何通過Action Trail控制台自訂查詢事件詳情。
前提條件
使用情境
自訂查詢事件支援簡單查詢和SQL查詢。您可以使用簡單查詢進行可視化搜尋,或者使用簡單查詢藉助結構化查詢語言 (SQL)SQL(Structured Query Language)進行靈活搜尋。
模式 | 查詢方式 | 說明 | 情境樣本 |
簡單查詢 | 單條件查詢 | 通過服務名稱、阿里雲地區、事件名稱、帳號類型、讀寫類型、資源名稱、資源類型和操作者等篩選條件進行查詢。 | 如果您需要查詢KMS在固定時間內產生的全部事件,設定服務名稱為Key Management Service(Kms)。 |
多個條件組合查詢 | 查詢多個服務的事件、或者同一服務在多個地區的事件。 | 如果您需要查詢KMS在杭州和上海地區的事件,設定服務名稱為Key Management Service(Kms)、阿里雲地區為華東1(杭州)和華東2(上海)。 | |
SQL查詢 | 關鍵字查詢 | 根據需求輸入特定的搜尋欄位。 | 如果您需要查詢所有的寫事件,在搜尋文字框輸入 |
指定條件查詢 | 指定操作者(Who)、操作(What)、關聯資源(Which)、地點(Where)或其他(Other)類型的條件進行查詢。 | 如果您需要查詢KMS在固定時間內產生的全部事件,在搜尋文字框輸入 | |
多個條件組合查詢 | 同時指定操作者(Who)、操作(What)、關聯資源(Which)、地點(Where)和其他(Other)類型的多個條件進行查詢。 | 如果您需要查詢Action Trail中Alex產生的事件,在搜尋文字框輸入 | |
排除條件查詢 | 同時指定多個條件,將其中一個條件前面的語句修改為NOT即可排除該條件進行查詢。 | 如果您需要查詢Action Trail中非Alex產生的事件,在搜尋文字框輸入 |
操作步驟
在左側導覽列,選擇。
在查詢範圍-跟蹤選擇已建立的跟蹤。
在自訂模板的Default頁簽,設定事件的查詢條件。
簡單查詢
在簡單查詢模式下,根據介面提示設定查詢條件。
SQL查詢
關閉簡單查詢開關,輸入SQL查詢條件。
說明關於進階查詢的SQL文法和查詢樣本,請參見進階查詢的SQL文法。
當簡單查詢不能滿足您的需求時,您可以先在簡單查詢模式下,根據介面提示設定查詢條件,再關閉簡單查詢開關。您在簡單查詢模式下設定的查詢條件會自動轉換為SQL語句,您可以對該SQL查詢條件進行定製。
設定查詢事件的時間段,單擊運行。
說明Action Trail預設查詢7天的事件。
您可以單擊右側的事件警示,為當前事件設定警示。具體操作,請參見建立自訂警示規則。
您可以對系統模板預設的SQL語句進行修改,然後單擊儲存,將其另存新檔自訂模板,進行二次應用。
查看事件的查詢結果。
原始日誌
在原始日誌頁簽,單擊目標事件對應操作列的查看事件詳情,查看事件的基本資料和JSON格式。
長條圖
在查詢長條圖頁簽,查看事件發生的長條圖。
相關文檔
當您需要查詢帳號或AccessKey相關事件、CIS標準相關事件或資源生命週期相關事件時,可以使用系統模板快速查詢。具體操作,請參見查詢阿里雲帳號或AccessKey相關事件、查詢CIS標準相關事件和查詢資源生命週期事件。
您還可以通過其他方式查詢超過90天的操作事件。具體操作,請參見通過SLS或OSS控制台查詢事件。