操作审计日志分析实战一:使用 SQL 分析投递到 OSS 中的操作审计日志

简单了解原理

(1)在操作审计创建跟踪可以将账号下发生的云上管控操作日志持续投递到SLS Logstore和OSS Bucket
(2)在数据湖分析(DLA)服务,可以通过简单的设置将操作日志从OSS Bucket导入DLA

操作审计日志分析实战一:使用 SQL 分析投递到 OSS 中的操作审计日志

DLA是一款基于Serverless的强大的交互j { 式数据查询分析服务,能够便捷的对不同格式的数据源进行格式化整I 6 ~ 2 0 f r合并使用统一SQL查询分析。将F { Q M - ( 4OSS Bucket 中的操q W a M作日志导入DLA后,
• DLA将OSS Bucket内以Array形7 B t g 5 s T保存的一行2 R j E g 1 K j d多条日志记录拆分为多条数据
• DLA将以JSOC q jN保存的每条操作日志转换为结构化的数据表
这使面向OSS Buck j | fet的数据解析被大大的简化,直接实现可视化的标准SQL分析。

开始实践

Step1:确认最佳实践的前提条件

1、确认您已经在操作审计创建了跟踪。如果还未创建跟踪,请先完成创建账号追踪操作,并配置将操作记录投递到对象存储(OSS)。
2、确认开通了DLA服务,请参见开通DLA服务。

Step2:在DLA服务中创建Schema

1、登录Data Lake Analytics管理控制台。
2、在页面左上角,选择与OSS所在地域Y k ! ; G *一致的DLA地域。
3、单击左侧导航栏的数据湖构建 > 数据入湖,在数据入湖页面单击ActionTrail日志清洗中的进入向导。
4、在ActionTrail日志清洗页面,根据页面提示进行参数配置。

操作审计日志分析实战一:使用 SQL 分析投递到 OSS 中的操作审计日志

5、完成上述参数配置后单击创建,创建Schema。
服务端预设的操作B y O审计日志Schema结构如下方表格所示。( e

操作审计日志分析实战一:使用 SQL 分析投递到 OSS 中的操作审计日志

Schema表结构介绍

操作审计日志分析实战一:使用 SQL 分析投递到 OSS 中的操作审计日志

操作审计日志分析实战一:使用 SQL 分析投递到 OSS 中的操作审计日志

操作审计日志分析实战一:使用 SQL 分析投递到 OSS 中的操作审计日志

操作审计日志分析实战一:使用 SQL 分析投递到 OSS 中的操作审计日志

操作审计日志分析实战一:使用 SQL 分析投递到 OSS 中的操作审计日志

Step3:开启同步

Schema创建成功后,ActionTrail投递到OSS Bucket中的日志数据尚未同步到DLA中,DLA中尚未创建OSS日志文件h , o ; y对应的表,您还需要通过单击立即同步来创建表并同步表数据。
1、单击立即同步启动数据同步任务。

在配置页[ S & q S R t e签下,单击3 # ( @更新更新Schema配置。

操作审计日志分析实战一:使用 SQL 分析投递到 OSS 中的操作审计日志

2、单击表页签,查看数据同步情况。

操作审计日志分析实战一:使用 SQL 分析投递到 OSS 中的操作审计日志

数据同( H U 6 0 3 j步到DLA以后,您就可以在DLAX } X 4中使用标准SQL语法对ActionTrail日志数据进行分析。

Step4:数据分析示例

1、I = W c + 6 _ 7单击DLA控制台左侧E P W SQL执行 选项卡,选择目标前面设置的数据库

操作审计日志分析实战一:使用 SQL 分析投递到 OSS 中的操作审计日志

2、输入查询语句,在这里输入单击 同步执行

3、得到查询结果

您可以使用任何符合SQL语法的语句去对S ! G P O 8 { !DLA中的日志信息进行查询。

常用查询案例

案例2:查询某个AK的操作日志

1、输入语句:select * from action_trail where user_identity_access_key_id = '你的目标AK' limit 20;

操作审计日志分析实战一:使用 SQL 分析投递到 OSS 中的操作审计日志

2、单击 同步执行 得到前20条符合条件的记录如下

案例2:查询某个AK访问某个产品的操作日志
1、输入语句,查询AK为指定值,调用Ecs服务的记录:select * from action_trail where useB K l C W u X s &r_ix ] R H _ ,dentity_access_key_id = '你的目标AK' AND service_name = 'Ecs' limit 20;

2、单击 同步执行 得到前20条符合条件的记录如下

操作审计日志分析实战一:使用 SQL 分析投递到 OSS 中的操作审计日志