Insights会借助数学模型智能分析您账号中的管控事件,帮助您发现异常行为。开通Insights事件后,操作审计将基于管控事件识别存在风险的API调用事件、API错误事件、IP请求事件及AccessKey调用事件等并生成Insights事件。本文以单账号查询API请求异常事件为例,为您介绍如何通过操作审计控制台查询Insights事件,及时洞察云上管控风险并尽快采取补救措施。
前提条件
请确保您已经创建了满足以下条件的单账号跟踪:
跟踪的地域为全部地域。
跟踪的事件类型为所有事件。
具体操作,请参见创建单账号跟踪。
如果您的阿里云账号中不存在风险行为,则不会生成Insights事件。
步骤一:开通Insights事件
登录操作审计控制台。
在左侧导航栏,单击审计事件洞察。
在审计事件洞察页面,单击开通Insights。
说明在开通Insights事件功能后,操作审计会在至少24小时后为您产生第一条Insights事件。
步骤二:查询Insights事件
在左侧导航栏,单击审计事件洞察。
在顶部导航栏,选择您想查询事件的地域。
在审计事件洞察页面,设置事件类型为API 请求异常事件,然后单击
图标。说明您可以设置IP地址或Insights事件类型的单个搜索条件来过滤事件。
单击目标Insights事件右侧操作列下的查看事件详情。
在Insights事件列表区域,单击目标Insights事件记录。
在Insights事件页签,您可以查看目标Insights事件记录的基本信息和多维度聚合分析。
在相关操作事件页签,您可以查看目标Insights事件记录的所有相关操作事件及其详情。
在Insights事件记录页签,您可以查看目标Insights事件记录的JSON格式的事件内容。
说明关于Insights事件中字段的更多信息,请参见Insights事件结构定义。
相关文档
您还可以通过高级查询功能查询Insights事件。具体操作,请参见自定义查询事件。
你还可以通过SLS/OSS控制台查询与分析Insights事件。具体操作,请参见通过SLS或OSS控制台查询事件。
当您想获取投递到日志服务SLS中的Insights事件详情,可使用查询语句和分析功能对日志进行深入分析。具体操作,请参见在日志服务SLS中分析操作事件。