简单了解原理
(1)在操作审计创建跟踪可以将账号下发生的云上管控操作日志持续投递到SLS Logstore和OSS Bucket;
(2)在数据湖分析(DLA)服务,可以通过简单的设置将操作日志从OSS Bucket导入DLA。
DLA是一款基于Serverless的强大的交互式数据查询分析服务,能够便捷的对不同格式的数据源进行格式化整合并使用统一SQL查询分析。将OSS Bucket 中的操作日志导入DLA后,
(1)DLA将OSS Bucket内以Array形式保存的一行多条日志记录拆分为多条数据;
(2)DLA将以JSON保存的每条操作日志转换为结构化的数据表。
这使面向OSS Bucket的数据解析被大大的简化,直接实现可视化的标准SQL分析。
开始实践
Step1:确认最佳实践的前提条件
1、确认您已经在操作审计创建了跟踪。如果还未创建跟踪,请先完成创建账号追踪操作,并配置将操作记录投递到对象存储(OSS)。
2、确认开通了DLA服务。
Step2:在DLA服务中创建Schema
1、登录Data Lake Analytics管理控制台。
2、在页面左上角,选择与OSS所在地域一致的DLA地域。
3、单击左侧导航栏的数据湖构建 > 数据入湖,在数据入湖页面单击ActionTrail日志清洗中的进入向导。
4、在ActionTrail日志清洗页面,根据页面提示进行参数配置。
5、完成上述参数配置后单击创建,创建Schema。
服务端预设的操作审计日志Schema结构如下方表格所示。
Schema表结构介绍
Step3:开启同步
Schema创建成功后,ActionTrail投递到OSS Bucket中的日志数据尚未同步到DLA中,DLA中尚未创建OSS日志文件对应的表,您还需要通过单击立即同步来创建表并同步表数据。
1、单击立即同步启动数据同步任务。
在配置页签下,单击更新更新Schema配置。
2、单击表页签,查看数据同步情况。
数据同步到DLA以后,您就可以在DLA中使用标准SQL语法对ActionTrail日志数据进行分析。
Step4:数据分析示例
1、单击DLA控制台左侧 SQL执行 选项卡,选择目标前面设置的数据库。
2、输入查询语句,在这里输入单击 同步执行
3、得到查询结果
您可以使用任何符合SQL语法的语句去对DLA中的日志信息进行查询。
常用查询案例
案例1:查询某个AK的操作日志
1、输入语句:select * from action_trail where user_identity_access_key_id = '你的目标AK' limit 20;
2、单击 同步执行 得到前20条符合条件的记录如下
案例2:查询某个AK访问某个产品的操作日志
1、输入语句,查询AK为指定值,调用Ecs服务的记录:select * from action_trail where user_identity_access_key_id = '你的目标AK' AND service_name = 'Ecs' limit 20;
2、单击 同步执行 得到前20条符合条件的记录如下
