筛选和查询用户活动

权限管理中的审核仪表板详细说明授权系统中执行的所有用户活动。 它会捕获中心位置中的所有高风险活动，并允许系统管理员查询日志。 通过审核仪表板，你可以执行以下操作：

• 创建并保存新的查询，以便可以轻松地访问关键数据点。
• 在一个查询中跨多个授权系统进行查询。

按授权系统筛选信息

如果以前未使用过筛选器，默认筛选器是筛选器列表中的第一个授权系统。

如果你以前使用过筛选器，则默认筛选器为你选择的最后一个筛选器。

1. 若要显示审核仪表板，请在权限管理主页上选择“审核”。

2. 若要选择授权系统类型，请在“授权系统类型”框中选择 Amazon Web Services (AWS)、Microsoft Azure (Azure)、Google Cloud Platform (GCP) 或 Platform (Platform)。

3. 若要在”授权系统”框中选择授权系统，请执行以下操作：

   • 从“列表”子标签中，选择要使用的帐户。
   • 从“文件夹”子标签中，选择要使用的文件夹。

4. 若要查看查询结果，请选择“应用”。

创建、查看、修改或删除查询

可以单独或组合配置几个不同的查询参数。 以下部分列出了查询参数和相应的说明。

• 若要创建新查询，请选择“新建查询”。

• 若要查看现有查询，请选择“查看”（眼睛图标）。

• 若要编辑现有查询，请选择“编辑”（铅笔图标）。

• 若要删除查询中的函数行，请选择“删除”（减号 - 图标）。

• 若要一次创建多个查询，请选择显示的“查询”选项卡右侧的“添加新选项卡”。

  最多可以同时打开六个查询选项卡页。 在达到最大值后，将会显示一条消息。

使用特定参数创建查询

使用日期创建查询

1. 在“新建查询”部分中，显示的默认参数是“最后一天”中的日期。

   第一行参数始终默认为“日期”，且无法删除。

2. 若要编辑日期详细信息，请选择“编辑”（铅笔图标）。

   若要查看查询详细信息，请选择“查看”（眼睛图标）。

3. 选择“运算符”，然后选择一个选项：

   • In：选择此选项可从过去一天到过去一年的范围内设置时间。
   • Is：选择此选项可从日历中选择特定日期。
   • 自定义：选择此选项可以从“开始时间”和“结束时间”日历设置日期范围。

4. 若要对当前所选内容运行查询，请选择“搜索”。

5. 若要保存查询，请选择“保存”。

   若要清除最近的选择，请选择“重置”。

查看标识的操作员选项

“操作员”菜单根据你在第一个下拉列表中选择的标识显示以下选项：

• Is / Is Not：查看所有可用用户名的列表。 可以在框中选择或输入用户名。
• 包含 / 不包含：输入“用户名”应包含或不包含的文本（例如权限管理）。
• In / Not In：查看所有可用用户名的列表并选择多个用户名。

创建具有用户名的查询

1. 在“新建查询”部分中，选择“添加”。

2. 从菜单中选择“用户名”。

3. 从“操作员”菜单中，选择所需的选项。

4. 若要向此部分添加条件，请选择“添加”。

   可以在“And” / “Or”语句之间更改操作，并选择其他条件。 例如，所选的第一组条件可以是名为“Test”的“Is”。

5. 选择加号 (+) 符号，选择具有“Contains”的“Or”，然后输入用户名（例如权限管理）。

6. 若要删除条件行，请选择“删除”（减号 - 图标）。

7. 若要对当前所选内容运行查询，请选择“搜索”。

8. 若要清除最近的选择，请选择“重置”。

使用资源名称创建查询

1. 在“新建查询”部分中，选择“添加”。

2. 从菜单中选择“资源名称”。

3. 从“操作员”菜单中，选择所需的选项。

4. 若要向此部分添加条件，请选择“添加”。

   可以在“And” / “Or”语句之间更改操作，并选择其他条件。 例如，所选的第一组条件可以是资源名为“Test”的“Is”。

5. 选择加号 (+) 符号，选择具有“Contains”的“Or”，然后输入用户名（例如权限管理）。

6. 若要删除条件行，请选择“删除”（减号 - 图标）。

7. 若要对当前所选内容运行查询，请选择“搜索”。

8. 若要清除最近的选择，请选择“重置”。

使用资源类型创建查询

1. 在“新建查询”部分中，选择“添加”。

2. 从菜单中选择“资源类型”。

3. 从“操作员”菜单中，选择所需的选项。

4. 若要向此部分添加条件，请选择“添加”。

5. 在“And” / “Or”语句之间更改操作，并选择其他条件。 例如，所选的第一组条件可以是资源类型为“s3::bucket”的“Is”。

6. 选择加号 (+) 符号，选择具有“Is”的“Or”，然后输入或选择 ec2::instance。

7. 若要删除条件行，请选择“删除”（减号 - 图标）。

8. 若要对当前所选内容运行查询，请选择“搜索”。

9. 若要清除最近的选择，请选择“重置”。

使用任务名称创建查询

1. 在“新建查询”部分中，选择“添加”。

2. 从菜单中选择“任务名称”。

3. 从“操作员”菜单中，选择所需的选项。

4. 若要向此部分添加条件，请选择“添加”。

5. 在“And” / “Or”语句之间更改操作，并选择其他条件。 例如，所选的第一组条件可以是任务名称为“s3:CreateBucket”的“Is”。

6. 选择“添加”，选择具有“Is”的“Or”，然后输入或选择 ec2:TerminateInstance。

7. 若要删除条件行，请选择“删除”（减号 - 图标）。

8. 若要对当前所选内容运行查询，请选择“搜索”。

9. 若要清除最近的选择，请选择“重置”。

使用状态创建查询

1. 在“新建查询”部分中，选择“添加”。

2. 从菜单中选择“状态”。

3. 从“操作员”菜单中，选择所需的选项。

   • Is / Is not：用户能够在值字段中选择，并选择“授权失败”、“错误”或“成功”。

4. 若要向此部分添加条件，请选择“添加”。

5. 在“And” / “Or”语句之间更改操作，并选择其他条件。 例如，所选的第一组条件可以是状态为“授权失败”的“Is”。

6. 选择“添加”图标，选择具有“IS”的“Or”，然后选择“成功”。

7. 若要删除条件行，请选择“删除”（减号 - 图标）。

8. 若要对当前所选内容运行查询，请选择“搜索”。

9. 若要清除最近的选择，请选择“重置”。

使用角色名称创建查询

1. 在“新建查询”部分中，选择“添加”。

2. 从菜单中选择“角色名称”。

3. 从“操作员”菜单中，选择所需的选项。

4. 若要向此部分添加条件，请选择“添加”。

5. 在“And” / “Or”语句之间更改操作，并选择其他条件。 例如，所选的第一组条件可以是自由文本为“测试”的“包含”包含。

6. 选择“添加”图标，选择具有“包含”的“Or”，然后输入条件，例如权限管理。

7. 若要删除条件行，请选择“删除”（减号 - 图标）。

8. 若要对当前所选内容运行查询，请选择“搜索”。

9. 若要清除最近的选择，请选择“重置”。

使用角色会话名称创建查询

1. 在“新建查询”部分中，选择“添加”。

2. 从菜单中选择“角色会话名称”。

3. 从“操作员”菜单中，选择所需的选项。

4. 若要向此部分添加条件，请选择“添加”。

5. 在“And” / “Or”语句之间更改操作，并选择其他条件。 例如，所选的第一组条件可以是自由文本为“测试”的“包含”包含。

6. 选择“添加”图标，选择具有“包含”的“Or”，然后输入条件，例如权限管理。

7. 若要删除条件行，请选择“删除”（减号 - 图标）。

8. 若要对当前所选内容运行查询，请选择“搜索”。

9. 若要清除最近的选择，请选择“重置”。

使用访问密钥 ID 创建查询

1. 在“新建查询”部分中，选择“添加”。

2. 在菜单中选择“访问密钥 ID”。

3. 从“操作员”菜单中，选择所需的选项。

4. 若要向此部分添加条件，请选择“添加”。

5. 在“And” / “Or”语句之间更改操作，并选择其他条件。 例如，所选的第一组条件可以是具有自由 AKIAIFXNDW2Z2MPEH5OQ 的“包含”。

6. 选择“添加”图标，选择“或”和“不包含”，然后输入 AKIAVP2T3XG7JUZRM7WU。

7. 若要删除条件行，请选择“删除”（减号 - 图标）。

8. 若要对当前所选内容运行查询，请选择“搜索”。

9. 若要清除最近的选择，请选择“重置”。

使用标记密钥创建查询

1. 在“新建查询”部分中，选择“添加”。

2. 从菜单中选择“标记密钥”。

3. 从“操作员”菜单中，选择所需的选项。

4. 若要向此部分添加条件，请选择“添加”。

5. 在“And” / “Or”语句之间更改操作，并选择其他条件。 例如，所选的第一组条件可以是“Is”并输入，或选择“测试”。

6. 选择“添加”图标，选择具有“Is”的“Or”，然后输入条件，例如权限管理。

7. 若要删除条件行，请选择“删除”（减号 - 图标）。

8. 若要对当前所选内容运行查询，请选择“搜索”。

9. 若要清除最近的选择，请选择“重置”。

使用标记密钥值创建查询

1. 在“新建查询”部分中，选择“添加”。

2. 从菜单中选择“标记密钥值”。

3. 从“操作员”菜单中，选择所需的选项。

4. 若要向此部分添加条件，请选择“添加”。

5. 在“And” / “Or”语句之间更改操作，并选择其他条件。 例如，所选的第一组条件可以是“Is”并输入，或选择“测试”。

6. 选择“添加”图标，选择具有“Is”的“Or”，然后输入条件，例如权限管理。

7. 若要删除条件行，请选择“删除”（减号 - 图标）。

8. 若要对当前所选内容运行查询，请选择“搜索”。

9. 若要清除最近的选择，请选择“重置”。

查看查询结果

1. 在“活动”表中，查询结果显示在列中。

   结果显示所有已执行的不是只读的任务。

2. 若要按升序或降序对每个列进行排序，请选择列名称旁边的向上或向下箭头。

   • 标识详细信息：标识的名称（例如执行任务的角色会话的名称）。

     • 若要查看“原始事件”摘要，其中显示事件的完整详细信息，请在“名称”列旁选择“查看”。

   • 资源名称：正在对其执行任务的资源的名称。

     如果列显示“多个资源”，则表示该列中列出了多个资源。

3. 若要查看所有资源的列表，请将鼠标悬停在“多个资源”上。

   • 资源类型：显示资源的类型，例如，密钥（加密密钥）或 Bucket（存储）。

   • 任务名称：标识执行的任务的名称。

     任务名称旁的感叹号 (！) 指示该任务失败。

   • 日期：执行任务的日期。

   • IP 地址：用户执行任务的 IP 地址。

   • 授权系统：在其中执行任务的授权系统名称。

4. 若要以逗号分隔的值下载结果 (CSV) 文件格式，请选择“下载”。

保存查询

1. 完成“新建查询”部分中的查询选择后，选择“保存”。

2. 在“查询名称”框中，输入查询的名称，然后选择“保存”。

3. 若要使用其他名称保存查询，请选择“保存”旁边的省略号 (...)，然后选择“另存为”。

4. 从“新查询”部分中选择省略号 (...)，然后选择“另存为”。

5. 若要保存新的查询，请在“保存查询”框中输入查询的名称，然后选择“保存”。

6. 若要保存已修改的现有查询，请选择省略号 (...)。

   • 若要用相同的名称保存修改后的查询，请选择“保存”。
   • 若要使用其他名称保存修改后的查询，请选择“另存为”。

查看已保存的查询

1. 选择“已保存的查询”，然后从“加载查询”列表中选择一个查询。

   此时将打开一个消息框，其中包含以下选项：使用保存的授权系统加载，或使用当前选定的授权系统进行加载。

2. 选择相应的选项，然后选择“加载查询”。

3. 查看查询信息：

   • 查询名称：显示已保存查询的名称。
   • 查询类型：显示查询是系统查询还是自定义查询。
   • 计划：显示生成报表的频率。 可以计划一次性报表或每月报表。
   • 下一步：显示生成下一个报表的日期和时间。
   • 格式：显示报表的输出格式（例如 CSV）。
   • 上次修改时间：显示上次修改查询的日期。

4. 若要查看或设置计划详细信息，请选择齿轮图标，选择“创建计划”，然后设置详细信息。

   如果已创建计划，请选择齿轮图标以打开“编辑计划”框。

   • 重复：设置报表重复的频率。
   • 开始：设置要接收报表的日期。
   • 时间：设置要接收报表的特定时间。
   • 报表格式：为文件选择输出类型（例如 CSV）。
   • 与之共享报表：将在此字段中显示创建计划的用户的电子邮件地址。 可以添加其他电子邮件地址。

5. 选择选项后，选择“计划”。

用不同的名称保存查询

• 选择省略号 (...)。

  系统查询只有一个选项：

  • 副本：创建查询的副本并命名为“XXX 的副本”。

  自定义查询具有以下选项：

  • 重命名：输入查询的新名称，然后选择“保存”。

  • 删除：删除已保存的查询。

    此时将打开“删除查询”框，要求确认是否要删除该查询。 选择“是”或“否” 。

  • 副本：创建查询的副本并将其命名为“XXX 的副本”。

  • 删除计划：删除此查询的计划详细信息。

    如果尚未保存计划，则此选项不可用。

    此时将打开“删除计划”框，要求确认是否要删除该计划。 选择“是”或“否” 。

导出查询结果生成报告

• 若要导出查询结果，请选择“导出”。

  权限管理以逗号分隔值 (CSV) 格式、可移植文档格式 (PDF) 或 Microsoft Excel Open XML 电子表格 (XLSX) 格式导出。

后续步骤

• 若要了解如何查看用户访问信息的方式，请参阅使用查询了解用户如何访问信息。
• 若要了解如何创建查询，请参阅创建自定义查询。
• 若要了解如何从查询生成按需报表，请参阅从查询生成按需报表。