ActionTrail は Log Service と連動させることができます。 ActionTrail で収集された操作ログデータは、リアルタイムに Log Service に送信されます。 本ドキュメントは ActionTrail ログのログフィールドと収集手順を紹介します。

前提要件

  1. Log Service を有効化していること。
  2. ActionTrail を有効化していること。

手順

  1. ActionTrail コンソールにログインします。
  2. 左側のナビゲーションペインでトレイルリストをクリックし、トレイルリストページに移動します。
  3. 右上隅のトレイルの作成をクリックしてトレイルの作成ページに移動します。
  4. 各パラメータを設定します。
    1. トレイル名を入力します。
    2. 監査イベントを OSS バケットに送信します (オプション)。

      詳細は、トレイルの作成をご参照ください。

    3. Log Service のリージョンを選択します。
    4. Log Service プロジェクトを入力します。

      プロジェクトは ActionTrail ログの保存にに使用されます。 選択したリージョンに既存のプロジェクト名、または新しいプロジェクト名を入力してログを新しいプロジェクトに送信します。

    5. ログを有効にする
      ログを有効にするをクリックします。 本機能を有効にすると、ActionTrail で記録したクラウドリソースの操作ログが Log Service に送信されます。
      図 1. トレイルパラメータを設定します。


  5. 送信をクリックして設定を完了します。
    以上でトレイルの作成は完了です。作成したトレイルをトレイルリストに表示できます。
    初めて ActionTrail ログ収集を設定する場合は、ページの指示に従って ActionTrail に権限付与します。 権限付与により、ActionTrail は ActionTrail ログを Logstore に送信できるようになります。 権限付与を完了したら、もう一度送信をクリックして設定を終了します。
    図 2. トレイルリスト


制限

  • 1 つのアカウントに作成できるトレイルは 1 つのみです。

    トレイルを使用すると、指定した OSS バケットまたは Log Service Logstore に監査イベントを送信できます。 現在、すべてのリージョンのアカウントに作成できるトレイルは 1 つのみです。 このトレイルは、OSS バケットと Logstore の両方またはいずれかに、すべてのリージョンにわたって監査イベントを送信します。

  • トレイルを作成した場合は、トレイルが作成されたリージョンでのみトレイルを処理できます。

    トレイルを作成した場合は、そのトレイルが作成されたリージョンでのみトレイルを表示、変更、または削除できます。 例:OSS のトレイルを作成したときに Log Service のトレイルを構成する必要がある場合は、作成した OSS のトレイルに Log Service の構成を追加します。

  • 専用 Logstore は追加データの書き込みをサポートしません

    専用 Logstore は、Action Trail の操作ログだけを保存するために使用されます。そのため、専用 Logstore はその他のデータの書き込みをサポートしません。 クエリ、統計、アラーム、ストリーミングの消費など、その他の機能には制限がありません。

  • 従量課金

    ActionTrail のログ収集機能は、Log Service の請求方法を使用します。 Log Service には、従量課金をサポートし、一定量の無料クォータも提供しています。 詳細は、Billing methodをご参照ください。

クエリと分析

トレイルの構成が完了後、収集されたログデータをクエリおよび分析するには、トレイルリストページの Log Service リストでログ分析およびログレポートをクリックします。
  • ログ分析:ログクエリおよび分析ページに入ります。

    Log Service はログのクエリと分析を提供します。 このページでは、収集した ActionTrail ログをリアルタイムでクエリおよび分析できます。

    クエリ構文と分析構文を定義することで、Log Service はさまざまな複雑なシナリオでログクエリを提供します。 クエリおよび分析の構文については、クエリ構文および分析構文を参照してください。

    重要なログデータを定期的にモニタリングし、異常な状態のアラーム通知を設定するには、現在のクエリ条件をクイック検索とアラームとして検索ページに保存します。詳細手順は、アラームの設定をご参照ください。

  • ログレポート:ダッシュボードページに入ります。

    Log Service は、ActionTrail 専用の組み込みダッシュボードによって、イベントタイプやイベントソースなどのリアルタイムのダイナミクスの全体像を示します。

    専用ダッシュボードを変更したり、カスタムダッシュボードを作成したり、さまざまなシナリオのカスタム分析グラフをダッシュボードに追加したりできます。 ダッシュボードの詳細は、ダッシュボードをご参照ください。

デフォルト構成

構成が完了すると、Log Service は専用のプロジェクトと専用の Logstore を作成します。 ActionTrail で収集したクラウドリソースの操作ログは、リアルタイムで Logstore に送信されます。 さらに、Log Service は、クラウドリソースの運用状況をリアルタイムで表示するためのダッシュボードも作成します。 プロジェクトや Logstore などのデフォルト構成については、次の表をご参照ください。

表 1. デフォルト構成
デフォルト構成項目 構成内容
Project トレイルを作成するときに選択、またはカスタマイズするプロジェクト。
Logstore Logstore はデフォルトで作成されます。 Logstore 名は actiontrail_トレイル名となります。

ActionTrail のすべてのログはこの Logstore に保存されます。

リージョン トレイルを作成するときに選択したリージョン。
シャード デフォルトでは、2 つのシャードが作成され、シャード自動分割機能が有効になります。
ログの保存期間 デフォルトでは、ログは永続的に保存されます。

ログ保存期間は 1~3000 日の範囲の値にカスタマイズできます。詳細手順は、Logstore の管理をご参照ください。

ダッシュボード ダッシュボードはデフォルトで作成されます:
  • 中国語環境:actiontrail_トレイル名_audit_center_cn
  • 英語環境:actiontrail_トレイル名_audit_center_en

ログフィールド

フィールド名 名前
__topic__ ログトピック。 このフィールドは actiontrail_audit_eventに限定されています
event イベントの本体。JSON形式です。 イベント本体の内容はイベントによって異なります。 イベントの例
event.eventId イベントのID、イベントを一意に示します。 07F1234-3E1D-4BFF-AC6C-12345678
event.eventName イベント名。 CreateVSwitch
event.eventSource イベントの発生源。 http://account.aliyun.com:443/login/login_aliyun.htm
event.eventType イベントの種類。 ApiCallApicall
event.eventVersionEvent. eventversion ActionTrail のデータ形式のバージョン。現在は 1 に限定されています。 1
event.acsRegion イベントの存在するリージョン。 cn-hangzhou
event.requestId クラウドサービス操作のリクエストID。 07F1234-3E1D-4BFF-AC6C-12345678
event.apiVersion 関連APIのバージョン。 2017-12-04
event.errorMessage イベント失敗のエラーメッセージ。 unknown confidential
event.serviceName イベント関連のサービス名。 Ecs
event.sourceIpAddress イベントに関連付けられている送信元IP。 1.2.3.4
event.userAgent イベント関連のクライアントエージェント。 Mozilla/5.0 (...)
event.requestParameters.HostId リクエスト関連パラメータ内のホスト ID。 ecs.cn-hangzhou.aliyuncs.com
event.requestParameters.Name リクエスト関連パラメータの名前。 ecs-test
event.requestParameters.Region リクエスト関連パラメータ内のドメイン。 cn-hangzhou
event.userIdentity.accessKeyId リクエストで使用された AccessKey ID。 25 ************
event.userIdentity.accountId リクエストされたアカウントの ID。 123456
event.userIdentity.principalId リクエストされたアカウントのバウチャー ID。 123456
event.userIdentity.type リクエストされたアカウントのタイプ。 root-account
event.userIdentity.userName リクエストされたアカウントの名前。 root

イベントの例

{
  "acsRegion": "cn-hangzhou",
  "additionalEventData": {
    "isMFAChecked": "false",
    "loginAccount": "test1234@aliyun.com"
  },
  "eventId": "7be1e173-1234-44a1-b135-1234",
  "eventName": "ConsoleSignin",
  "eventSource": "http://account.aliyun.com:443/login/login_aliyun.htm",
  "eventTime": "2018-07-12T06:14:50Z",
  "eventType": "ConsoleSignin",
  "eventVersion": "1",
  "requestId": "7be1e173-1234-44a1-b135-1234",
  "serviceName": "AasCustomer",
  "sourceIpAddress": "42.120.75.137",
  "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36",
  "userIdentity": {
    "accessKeyId": "25****************",
    "accountId": "1234",
    "principalId": "1234",
    "type": "root-account",
    "userName": "root"
  }
}