当您需要查询多个地域超过90天的事件时,可以通过自定义查询功能设置筛选条件或SQL语句查询事件。本文为您介绍如何通过操作审计控制台自定义查询事件详情。
前提条件
使用场景
自定义查询事件支持简单查询和SQL查询。您可以使用简单查询进行可视化搜索,或者使用简单查询借助结构化查询语言SQL(Structured Query Language)进行灵活搜索。
模式 | 查询方式 | 说明 | 场景示例 |
简单查询 | 单条件查询 | 通过服务名称、阿里云地域、事件名称、账号类型、读写类型、资源名称、资源类型和操作者等筛选条件进行查询。 | 如果您需要查询KMS在固定时间内产生的全部事件,设置服务名称为密钥管理服务(Kms)。 |
多个条件组合查询 | 查询多个服务的事件、或者同一服务在多个地域的事件。 | 如果您需要查询KMS在杭州和上海地域的事件,设置服务名称为密钥管理服务(Kms)、阿里云地域为华东1(杭州)和华东2(上海)。 | |
SQL查询 | 关键字查询 | 根据需求输入特定的搜索字段。 | 如果您需要查询所有的写事件,在搜索文本框输入 |
指定条件查询 | 指定操作者(Who)、操作(What)、关联资源(Which)、地点(Where)或其他(Other)类型的条件进行查询。 | 如果您需要查询KMS在固定时间内产生的全部事件,在搜索文本框输入 | |
多个条件组合查询 | 同时指定操作者(Who)、操作(What)、关联资源(Which)、地点(Where)和其他(Other)类型的多个条件进行查询。 | 如果您需要查询操作审计中Alex产生的事件,在搜索文本框输入 | |
排除条件查询 | 同时指定多个条件,将其中一个条件前面的语句修改为NOT即可排除该条件进行查询。 | 如果您需要查询操作审计中非Alex产生的事件,在搜索文本框输入 |
操作步骤
登录操作审计控制台。
在左侧导航栏,选择。
在查询范围-跟踪选择已创建的跟踪。
在自定义模板的Default页签,设置事件的查询条件。
简单查询
在简单查询模式下,根据界面提示设置查询条件。
SQL查询
关闭简单查询开关,输入SQL查询条件。
说明关于高级查询的SQL语法和查询示例,请参见高级查询的SQL语法。
当简单查询不能满足您的需求时,您可以先在简单查询模式下,根据界面提示设置查询条件,再关闭简单查询开关。您在简单查询模式下设置的查询条件会自动转换为SQL语句,您可以对该SQL查询条件进行定制。
设置查询事件的时间段,单击运行。
说明操作审计默认查询7天的事件。
您可以单击右侧的事件告警,为当前事件设置告警。具体操作,请参见创建自定义告警规则。
您可以对系统模板默认的SQL语句进行修改,然后单击保存,将其另存为自定义模板,进行二次应用。
查看事件的查询结果。
原始日志
在原始日志页签,单击目标事件对应操作列的查看事件详情,查看事件的基本信息和JSON格式。
直方图
在查询直方图页签,查看事件发生的直方图。
相关文档
当您需要查询账号或AccessKey相关事件、CIS标准相关事件或资源生命周期相关事件时,可以使用系统模板快速查询。具体操作,请参见查询阿里云账号或AccessKey相关事件、查询CIS标准相关事件和查询资源生命周期事件。
您还可以通过其他方式查询超过90天的操作事件。具体操作,请参见通过SLS或OSS控制台查询事件。