Insight事件帮助您从管控事件中发现异常行为。启用Insight事件后,操作审计将基于管控事件识别异常的IP调用事件并生成Insight事件。您可以通过操作审计控制台查询Insight事件,及时洞察云上管控风险并尽快采取补救措施。

前提条件

  • 请确保您已经通过提交工单,获取Insight事件的使用权限。
  • 请确保您已经创建了满足以下条件的单账号跟踪:
    • 跟踪的地域为全部地域。
    • 跟踪的事件类型为所有事件。
    具体操作,请参见创建单账号跟踪

步骤一:启用Insight事件

您可以在创建跟踪时启用Insight事件,也可以为已有跟踪启用Insight事件。如下以已有跟踪为例为您介绍如何启用Insight事件。

  1. 登录操作审计控制台
  2. 在左侧导航栏,单击跟踪列表
  3. 跟踪列表页面,单击目标跟踪名称。
  4. 日志事件区域,打开异常IP访问事件状态右侧的开关。

步骤二:查询Insight事件

  1. 在左侧导航栏,单击Insight
  2. 在顶部导航栏,选择您想查询事件的地域。
  3. Insight页面,输入搜索条件(例如:IP地址),设置查询的时间范围,然后单击查询按钮图标。
    说明
    • 您可以设置IP地址、Insight类型和事件ID等单个搜索条件来过滤查询事件。
    • 全局事件分析得出的Insight事件仅可以在跟踪的Home地域查询到。
  4. 单击目标IP地址,在Insight详情区域查询异常事件数和IP异构度。
  5. 单击事件列表,在趋势图中查询事件产生的时间和频率。
    查看Insight事件
  6. 可选:您可以在操作审计事件页签查询该异常IP相关的事件详情。也可以单击Insight事件原文页签,查询Insight事件代码记录。