Buat, ubah, nonaktifkan, atau hapus aturan audit log - Simple Log Service

Setelah Anda mengaktifkan pengumpulan log untuk produk cloud menggunakan Log Audit Service versi baru, Anda dapat mengelola aturan pengumpulan di proyek terkait. Topik ini menjelaskan cara membuat, mengubah, menonaktifkan, dan menghapus aturan tersebut.

Prosedur

Konsol

Buka halaman aturan pengumpulan.
1. Login ke Simple Log Service console. Pada tab Audit & Security di bagian Log Application, klik Log Audit Service (New Version).
2. Klik nama proyek tujuan. Anda kemudian dapat mengklik kartu produk cloud yang sesuai pada tab Cloud Products atau buka tab Rules lalu klik Create Collection Rule.
Kelola aturan pengumpulan untuk produk cloud. Anda dapat Create aturan baru, atau Modify, Disable, atau Delete aturan yang sudah ada.
Penting
- Saat mengubah aturan pengumpulan, Anda tidak dapat mengganti tipe log atau nama produk cloud. Jika dilakukan, akan terjadi error.
- Untuk setiap produk cloud, Anda dapat membuat beberapa aturan pengumpulan untuk tipe log yang berbeda. Aturan-aturan pengumpulan ini kemudian digabungkan dan diterapkan ke instans produk cloud. Fitur pengumpulan log untuk instans tersebut hanya dinonaktifkan jika semua aturan pengumpulan terkait dinonaktifkan atau dihapus.
- Menonaktifkan atau menghapus aturan pengumpulan untuk suatu produk cloud hanya menghentikan pengumpulan log untuk instans yang pengumpulannya diaktifkan melalui aturan tersebut. Tindakan ini tidak menghentikan pengumpulan log yang diaktifkan secara manual di konsol produk cloud atau melalui CloudLens.

Memanggil API

Penting

Saat memanggil API, endpoint harus berada di China (Shanghai) atau Singapore.
Menonaktifkan atau menghapus aturan pengumpulan untuk suatu produk cloud hanya menghentikan pengumpulan log untuk instans yang pengumpulannya diaktifkan melalui aturan tersebut. Tindakan ini tidak menghentikan pengumpulan log yang diaktifkan secara manual di konsol produk cloud atau melalui CloudLens.
Untuk setiap produk cloud, Anda dapat membuat beberapa aturan pengumpulan untuk tipe log yang berbeda. Aturan-aturan pengumpulan ini kemudian digabungkan dan diterapkan ke instans produk cloud. Fitur pengumpulan log untuk instans tersebut hanya dinonaktifkan jika semua aturan pengumpulan terkait dinonaktifkan atau dihapus.
Saat mengubah aturan pengumpulan, Anda tidak dapat mengganti tipe log atau nama produk cloud. Jika dilakukan, akan terjadi error.

Untuk mempelajari cara membuat, mengubah, atau menonaktifkan aturan pengumpulan audit log, lihat berikut ini:

Parameter aturan pengumpulan

Parameter dasar

Properti	Deskripsi
Rule Name	Nama aturan pengumpulan. Nama harus unik secara global dalam satu Akun Alibaba Cloud. Panjangnya harus antara 3 hingga 63 karakter dan dimulai dengan huruf.
Cloud Product Name	Untuk informasi selengkapnya, lihat Catatan tentang pengumpulan log dari produk cloud.
Log Type	Untuk informasi selengkapnya, lihat Catatan tentang pengumpulan log dari produk cloud.
Resource Matching Mode	All Resources (all): Mengumpulkan log dari semua instans produk cloud yang ditentukan. Attribute Mode (attributeMode): Mengumpulkan log hanya dari instans produk cloud yang sesuai dengan kombinasi Wilayah dan tag resource yang ditentukan. Instance Mode (instanceMode): Mengumpulkan log hanya dari instans produk cloud dengan ID instans yang ditentukan.
Instance List	Parameter ini hanya berlaku ketika Resource Matching Mode diatur ke Instance Mode. Hanya log dari instans yang ID-nya ada dalam daftar yang dikumpulkan. Catatan Jika tidak ada opsi yang tersedia dalam daftar drop-down instans, Anda dapat memasukkan nama instans secara manual. Saat Anda membuat setidaknya satu aturan pengumpulan data untuk produk cloud tersebut, daftar drop-down akan otomatis menampilkan nama instans yang sudah ada.
Region List, Resource Tags	Parameter ini hanya berlaku ketika Resource Matching Mode diatur ke Attribute Mode. Hanya log dari instans produk cloud yang sesuai dengan kombinasi Wilayah dan tag resource yang ditentukan yang dikumpulkan. Jika Region atau Resource Tags dibiarkan kosong, kondisi filter yang sesuai akan diabaikan.
Global Log Storage Region	Parameter ini hanya didukung ketika tipe log merupakan tipe log global. Ini menunjukkan bahwa saat Anda mengonfigurasinya untuk pertama kali, log global dikumpulkan ke Wilayah yang sesuai. Untuk tipe log yang berbeda dari produk cloud yang sama, kami menyarankan agar Anda mengonfigurasi Wilayah penyimpanan yang sama. Misalnya, kami menyarankan agar Anda menyimpan log audit global, log kesalahan global, dan metrik pemantauan performa Simple Log Service dalam satu proyek di Wilayah default. Wilayah penyimpanan log global langsung berlaku setelah konfigurasi pertama. Penting Kami menyarankan agar Anda tidak mengubah Wilayah penyimpanan log global. Untuk mengubahnya, Anda harus terlebih dahulu menghapus semua aturan pengumpulan untuk tipe log yang sesuai. Ini mencakup aturan yang dibuat secara default di Cloud Lens dan aturan yang dibuat otomatis saat proyek baru dibuat. Untuk informasi selengkapnya tentang log global SLS, lihat Aktifkan fitur pengumpulan log. Log metering OSS merupakan log global. Untuk informasi selengkapnya, lihat Bidang log.

Konfigurasi terpusat

Setelah transformasi data, log ditulis ke Logstore tujuan terpusat. Untuk menulis dari Logstore pengiriman default ke beberapa Logstore tujuan terpusat, pastikan setiap Logstore tujuan telah tersedia. Untuk menghapus Logstore tujuan terpusat, Anda harus terlebih dahulu menghapus aturan pengumpulan terkait; jika tidak, penulisan ke Logstore tujuan lainnya mungkin terganggu.

Properti	Deskripsi
Central target project	Proyek untuk pengiriman terpusat. Nilainya tetap ke proyek yang terkait dengan collection rule dan tidak dapat diubah.
Destination Store for Centralized Storage	Select Existing: Pilih Logstore yang sudah ada di proyek tujuan untuk penyimpanan terpusat. Create: Buat Logstore di proyek tujuan untuk penyimpanan terpusat. Periode retensi data default adalah 30 hari. Nilainya dapat berkisar antara 1 hingga 3.650. Periode retensi data yang lebih lama mengakibatkan biaya penyimpanan log yang lebih tinggi. Untuk informasi tentang cara mengubah periode retensi Logstore, lihat Kelola Logstore. Untuk saran tentang cara mengurangi biaya penyimpanan log, lihat Bagaimana cara mengurangi biaya penyimpanan log?.
Log Retention Period for Centralized Storage	Parameter ini hanya berlaku saat Anda membuat Logstore baru. Parameter ini digunakan untuk menginisialisasi periode retensi log untuk Logstore baru tersebut. Parameter ini tidak mengubah periode retensi Logstore yang sudah ada.

Konfigurasi multi-akun

Gunakan Resource Directory untuk membangun struktur multi-akun. Hanya administrator direktori resource atau administrator yang didelegasikan yang dapat mengaktifkan mode multi-akun.
1. Login ke Resource Management console menggunakan akun manajemen dan aktifkan direktori resource.
2. Buat folder.
3. Buat anggota, atau undang Akun Alibaba Cloud yang sudah ada untuk bergabung ke direktori resource, lalu pindahkan anggota-anggota tersebut ke folder yang sesuai.
  Untuk informasi selengkapnya, lihat Buat anggota, Undang Akun Alibaba Cloud untuk bergabung ke direktori resource, dan Pindahkan anggota.
4. Tambahkan akun administrator yang didelegasikan.

Konfigurasi Multi-account Mode.

Multi-account Mode	Deskripsi
All (all)	Mengumpulkan log produk cloud yang ditentukan dari semua akun anggota. Aturan pengumpulan untuk produk cloud yang dikonfigurasi oleh administrator atau administrator yang didelegasikan berlaku untuk semua akun anggota dalam direktori resource. Jika akun ditambahkan ke atau diubah dalam direktori resource, aturan yang sesuai akan otomatis dibuat atau diubah.
Custom (custom)	Mengumpulkan log produk cloud yang ditentukan dari akun anggota yang dipilih. Aturan pengumpulan untuk produk cloud yang dikonfigurasi oleh administrator atau administrator yang didelegasikan hanya berlaku untuk akun anggota dalam konfigurasi kustom. Akun anggota lainnya tidak terpengaruh.

Kode kesalahan umum, pesan kesalahan, dan deskripsi

Kode kesalahan	Pesan kesalahan	Deskripsi
DeregisterDA.Deny.TrustedService	Forbidden. The current management account has a resource directory configured for unified access. You must first update or delete the unified access configuration.	Jika Anda mengalami error ini saat mencoba menghapus direktori resource, layanan tepercaya, atau akun administrator yang didelegasikan, artinya masih terdapat aturan pengumpulan di akun administrator yang didelegasikan. Untuk mengatasi masalah ini: Login ke akun administrator yang didelegasikan dan daftar aturan pengumpulan untuk produk cloud. Di akun administrator yang didelegasikan, hapus semua aturan pengumpulan cross-account. Anda harus menghapus aturan dari langkah sebelumnya yang parameter resourceDirectory.accountGroupType-nya tidak kosong. Kemudian, gunakan akun administrator untuk kembali ke Konsol Resource Directory dan hapus akun administrator yang didelegasikan.
NotMatch	The productCode or dataCode does not match the current productCode or dataCode.	Anda tidak dapat mengubah tipe log atau kode produk saat mengubah aturan. Jika dilakukan, akan terjadi error ketidaksesuaian.
PolicyNotExist	The collection policy does not exist.	Error ini terjadi jika Anda mencoba mengkueri atau menghapus aturan yang tidak ada.
InvalidSLR	The service-linked role (SLR) does not exist or failed to be created.	Error ini menunjukkan bahwa peran terkait layanan (SLR) tidak ada atau gagal dibuat. Saat Anda menggunakan Log Audit Service untuk membuat aturan, Log Audit Service secara otomatis membuat peran terkait layanan AliyunServiceRoleForSLSAudit di akun saat ini dan akun anggotanya setelah Resource Directory diaktifkan.
InvalidRAM	The RAM permissions are insufficient to perform this action. Check the RAM policy of the current account for this operation.	Pengguna RAM tidak memiliki izin yang diperlukan untuk mengelola Log Audit Service. Untuk informasi selengkapnya, lihat Berikan izin kepada Pengguna RAM untuk menggunakan Log Audit Service versi baru.
InvalidProductData	Invalid Product Code or Data Code	Kode produk atau kode tipe log tidak valid.
InvalidProductData	Invalid Policy Name	Nama aturan tidak valid.
InvalidPolicyConfig	Policy Config: The resourceMode must be all, instanceMode, or attributeMode.	Mode resource harus diatur ke all, instanceMode, atau attributeMode.
InvalidPolicyConfig	Policy Config: The resourceMode must be 'all' for the CloudLens global log type.	Untuk tipe log global dari CloudLens, mode resource harus diatur ke all.
InvalidPolicyConfig	Policy Config: The resourceMode must be 'attributeMode' for the security log type.	Untuk tipe log keamanan, mode resource harus diatur ke attributeMode.
InvalidPolicyConfig	Policy Config: You must set at least one central region for the security log type.	Untuk tipe log keamanan, Anda harus mengonfigurasi setidaknya satu Wilayah terpusat.
InvalidPolicyConfig	Policy Config: This productCode and dataCode do not allow instance IDs to be configured.	Untuk tipe log keamanan, Anda tidak dapat mengonfigurasi daftar instans.
InvalidConfig	Check whether the project or Logstore belongs to you and is in the correct region.	Proyek atau Logstore yang ditentukan untuk konfigurasi terpusat tidak dimiliki oleh akun saat ini, atau Wilayah yang ditentukan bukan Wilayah tempat Logstore tersebut berada.
InvalidConfig	The policyCode and dataCode are required to list policies by an instanceId that meets the filter conditions.	Untuk menemukan aturan yang sesuai berdasarkan ID instans, Anda harus menentukan kode produk dan kode tipe log.
InvalidCentralizeConfig	If centralized collection is enabled, you must set at least one centralized configuration.	Jika pengumpulan terpusat diaktifkan, Anda harus mengonfigurasi informasi untuk Logstore terpusat.
InvalidCentralizeConfig	A centralized configuration is required for security product log collection.	Untuk tipe log keamanan, konfigurasi terpusat wajib dilakukan.
InvalidCentralizeConfig	If centralized collection is enabled, the destination project, destination Logstore, destination region, and destination TTL cannot be empty.	Jika pengumpulan terpusat diaktifkan, proyek tujuan, Logstore tujuan, Wilayah tujuan, dan periode retensi log tidak boleh kosong.
InvalidCentralizeConfig	The destination project is invalid for the centralized configuration.	Proyek untuk konfigurasi terpusat tidak valid.
InvalidCentralizeConfig	The destination Logstore is invalid for the centralized configuration.	Logstore untuk konfigurasi terpusat tidak valid.
InvalidCentralizeConfig	The destination region is invalid for the centralized configuration.	Wilayah untuk konfigurasi terpusat tidak valid.
InvalidResourceDirectoryConfig	Policy ResourceDirectory Config: When you configure a resource directory, you must first set the account group type.	Saat mengonfigurasi direktori resource, Anda harus mengatur Multi-account Mode.
InvalidResourceDirectoryConfig	Policy ResourceDirectory Config: The instance mode is not allowed if a resource directory is configured.	Jika pengaturan multi-akun untuk Resource Directory diaktifkan, Anda tidak dapat mengatur mode resource ke Instance.
InvalidResourceDirectoryConfig	Policy ResourceDirectory Config: The members list cannot be empty.	Saat Multi-account Mode diatur ke custom, Anda harus mengonfigurasi daftar anggota. Daftar ini tidak boleh kosong.
InvalidResourceDirectoryConfig	Policy ResourceDirectory Config: Centralized configuration must be enabled for the resource directory.	Anda harus mengaktifkan pengiriman terpusat saat mengaktifkan konfigurasi Resource Directory.
InvalidResourceDirectoryConfig	Policy ResourceDirectory Config: The account's resource directory is not in use.	Resource Directory belum diaktifkan untuk akun saat ini.
InvalidResourceDirectoryConfig	Policy ResourceDirectory Config: The account is a member account, not a delegated administrator account or a management account.	Akun saat ini merupakan akun anggota, bukan akun manajemen atau akun administrator yang didelegasikan. Oleh karena itu, Anda tidak dapat mengonfigurasi mode Resource Directory dalam aturan tersebut.
InvalidResourceDirectoryConfig	Policy ResourceDirectory Config: The custom members list includes an invalid account.	Daftar akun anggota yang dikonfigurasi berisi ID akun yang tidak valid saat Multi-account Mode diatur ke custom.
InvalidDataConfig	Policy DataConfig: The data region is invalid.	Wilayah pengiriman default yang dikonfigurasi untuk tipe log global tidak valid.
InvalidDataConfig	Policy DataConfig: This product type does not allow data configuration.	Tipe produk atau tipe log saat ini bukan tipe log global. Oleh karena itu, konfigurasi ini tidak diizinkan.
InvalidDataConfig	Policy DataConfig: The data region already exists in another policy and cannot be changed.	Untuk tipe log global, setelah Wilayah pengiriman default dikonfigurasi, konfigurasi tersebut langsung berlaku dan tidak dapat diubah.

Referensi

Jika Anda menggunakan Pengguna RAM untuk mengelola Log Audit Service, Anda harus menggunakan Akun Alibaba Cloud untuk memberikan izin yang diperlukan kepada Pengguna RAM tersebut. Untuk informasi selengkapnya, lihat Berikan izin kepada Pengguna RAM untuk menggunakan Log Audit Service versi baru.
Untuk informasi selengkapnya tentang tipe log, nama proyek dan Logstore default, serta detail penagihan produk cloud yang didukung, lihat Catatan tentang pengumpulan log dari produk cloud.
Untuk mengumpulkan log produk cloud dari beberapa Akun Alibaba Cloud, aktifkan direktori resource. Kemudian, gunakan akun manajemen direktori resource atau akun administrator yang didelegasikan untuk mengonfigurasi aturan pengumpulan untuk produk cloud yang diperlukan. Setelah Anda mengonfigurasi aturan pengumpulan, log produk cloud dikumpulkan dari akun anggota dan disimpan di proyek yang ditentukan. Untuk informasi selengkapnya, lihat Catatan tentang pengumpulan log dari produk cloud.