Kirim log operasi pengguna ke Logstores - Elastic Desktop Service

Elastic Desktop Service (Enterprise Edition) dapat mengirimkan log operasi pengguna ke Logstores di Layanan Log Sederhana. Administrator dapat menggunakan log ini untuk melakukan audit dan memantau operasi pengguna serta mengirimkan peringatan jika operasi mencurigakan terdeteksi sejak dini. Hal ini mencegah kebocoran data dan memastikan keamanan data bisnis. Topik ini menjelaskan izin terkait pengiriman log operasi pengguna dan cara mengirimkan log tersebut.

Latar Belakang

Sebelum mengirimkan log operasi pengguna, Anda harus memahami informasi berikut yang terkait dengan Layanan Log Sederhana:

Layanan Log Sederhana adalah platform pemantauan dan analisis berbasis cloud-native yang menyediakan layanan berskala besar, biaya rendah, dan real-time untuk memproses berbagai jenis data seperti log, metrik, dan jejak. Platform ini menawarkan solusi satu atap untuk mengumpulkan, memproses, menanyakan, menganalisis, memvisualisasikan, mengonsumsi, dan mengirimkan data. Solusi ini juga dapat mengirimkan peringatan. Anda dapat menggunakan Layanan Log Sederhana untuk meningkatkan kemampuan digital dalam R&D, O&M, operasi, dan keamanan data. Untuk informasi lebih lanjut, lihat Apa itu Layanan Log Sederhana?
Anda dapat menggunakan Logstores di Layanan Log Sederhana untuk mengumpulkan, menyimpan, dan menanyakan log. Untuk informasi lebih lanjut, lihat Logstore.
Pengiriman log operasi pengguna dari Elastic Desktop Service (Enterprise Edition) ke Logstores di Layanan Log Sederhana tidak dikenakan biaya. Namun, penyimpanan log di Logstores akan dikenakan biaya. Untuk informasi lebih lanjut, lihat Ikhtisar Penagihan.
Peran terkait layanan terhubung dengan layanan Alibaba Cloud. Anda dapat mengonfigurasi izin pada layanan cloud menggunakan peran terkait layanan untuk melakukan operasi. Ini membantu mencegah risiko yang disebabkan oleh kesalahan operasi. Untuk informasi lebih lanjut, lihat Peran terkait layanan.
Saat pertama kali mengirimkan log operasi pengguna di Elastic Desktop Service (Enterprise Edition) ke Layanan Log Sederhana, sistem Elastic Desktop Service membuat peran terkait layanan dan melampirkan kebijakan ke peran tersebut untuk memberikan izin pada Layanan Log Sederhana. Berikut adalah rincian item-itemnya:
- Peran: AliyunServiceRoleForGwsLogDelivery
- Kebijakan: AliyunServiceRolePolicyForGwsLogDelivery
- Deskripsi: Elastic Desktop Service (Enterprise Edition) menggunakan AliyunServiceRoleForGwsLogDelivery untuk mengakses Logstores guna pengiriman log.
Izin dalam kebijakan
```
{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "log:CreateProject",
            "Resource": "acs:log:*:*:project/elastic-desktop-*"
        },
        {
            "Action": [
                "log:GetProject",
                "log:ListProject"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "log:CreateLogstore",
                "log:ListLogStores",
                "log:PostLogStoreLogs",
                "log:GetLogstore",
                "log:CreateIndex",
                "log:UpdateIndex",
                "log:GetIndex"
            ],
            "Resource": "acs:log:*:*:project/elastic-desktop-*/logstore/elastic_desktop_*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "log-delivery.gws.aliyuncs.com"
                }
            }
        }
    ]
}
```
Jika Anda tidak lagi memerlukan peran terkait layanan, Anda dapat menghapus peran tersebut. Namun, Anda harus menghapus sumber daya komputer cloud yang bergantung pada peran tersebut di konsol Elastic Desktop Service (Enterprise Edition) atau dengan memanggil operasi API terkait sebelum menghapus peran. Untuk informasi lebih lanjut, lihat Hapus peran RAM.

Prasyarat

Layanan Log Sederhana telah diaktifkan dan peran terkait layanan telah diberi izin pada Layanan Log Sederhana. Untuk informasi lebih lanjut, lihat Memulai cepat: Gunakan Logtail untuk mengumpulkan dan menganalisis log teks ECS.

Prosedur

Masuk ke konsol EDS Enterprise.
Di panel navigasi di sebelah kiri, pilih Security & Audits > Logs.
Klik tab User Operation Logs dan klik Deliver to Logstore di pojok kanan atas.
(Kondisional) Jika ini pertama kali Anda menggunakan fitur ini, klik OK di kotak dialog Elastic Desktop Service Service-linked Role.
Di panel Deliver to Logstore, tentukan Logstore. Anda dapat membuat Logstore baru atau memilih Logstore yang sudah ada. Klik OK.

Pemecahan Masalah

Mengapa sistem Elastic Desktop Service gagal membuat AliyunServiceRoleForGwsLogDelivery saat saya menggunakan pengguna RAM untuk mengirimkan log?

Sistem hanya dapat membuat atau menghapus AliyunServiceRoleForGwsLogDelivery untuk Pengguna Resource Access Management (RAM) jika kebijakan CreateServiceLinkedRole dilampirkan ke pengguna RAM tersebut. Jika sistem tidak dapat membuat AliyunServiceRoleForGwsLogDelivery untuk pengguna RAM, Anda harus melampirkan kebijakan CreateServiceLinkedRole ke pengguna RAM tersebut.

Catatan

Dalam pernyataan berikut, ganti ID akun Alibaba Cloud Anda dengan ID akun Anda yang sebenarnya.

{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:ID akun Alibaba Cloud Anda:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "log-delivery.gws.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}