1.使用阿里云操作审计(ActionTrail)
阿里云操作审计(ActionTrail)可以帮助您监控并记录阿里云账号的活动,包括通过控制台、OpenAPI等方式对云资源的操作。
操作步骤:
启用操作审计:
登录阿里云控制台,进入“操作审计”服务。
创建跟踪,将操作事件投递到日志服务(SLS)或对象存储(OSS)中。
配置事件投递:
选择投递到日志服务(SLS)以便进行实时分析和长期保存。
设置事件类型,例如ECS实例的启动、停止、配置变更等。
查询和分析事件:
在操作审计控制台中,通过操作时段、用户名、资源类型等维度查询事件。
利用日志服务的SQL分析功能,对事件进行深入分析,识别异常操作。
设置告警:
配置告警规则,当检测到异常操作(如频繁的登录失败、未经授权的资源变更)时,通过邮件或短信通知管理员。
2.利用云服务器ECS的命令行审计功能
阿里云ECS的Workbench提供了命令行审计功能,可以记录通过Workbench登录会话执行的历史命令。
操作步骤:
配置权限:
创建自定义权限策略,允许查看命令行审计列表。例如:
{
"Version":"1",
"Statement":[
{
"Effect":"Allow",
"Action":"ecs-workbench:ListTerminalCommands",
"Resource":"*"
}
]
}
将该策略授权给需要的RAM用户。
查看审计日志:
登录Workbench,选择目标ECS实例。
在命令行审计列表中,点击“查看”按钮,查看详细的操作命令、登录用户、执行路径等信息。
3.配置Linux服务器的本地审计规则
对于Linux服务器,可以通过auditd服务配置审计规则,记录系统级别的异常操作。
4.使用日志服务(SLS)进行集中分析
将服务器日志统一投递到阿里云日志服务(SLS),利用其强大的分析和告警功能。
操作步骤:
配置日志采集:
在ECS实例上安装日志服务Agent,配置日志采集路径(如/var/log/)。
将日志投递到SLS的LogStore中。
分析和告警:
在日志服务控制台中,使用SQL语句查询和分析日志。
设置告警规则,例如检测到频繁的登录失败或异常的网络流量时触发告警。
