新しいバージョンのログ監査サービスでクラウドサービスのログ収集を有効にした後、関連付けたプロジェクトでクラウドサービスの収集ルールを管理できます。たとえば、収集ルールを作成、変更、無効化、および削除します。このトピックでは、収集ルールを管理する方法について説明します。
手順
コンソール
収集ルールページに移動します。
Simple Log Service コンソール にログインします。[ログアプリケーション] セクションで、[監査とセキュリティ] タブをクリックします。次に、[ログ監査サービス (新バージョン)] をクリックします。
目的のプロジェクト名をクリックします。[クラウドサービス] タブでクラウドサービスをクリックするか、[ポリシー] タブをクリックし、[収集ルールを作成] をクリックして収集ルールを作成します。
クラウドサービスの収集ルールを管理します。収集ルールを作成、変更、無効化、または削除できます。
重要収集ルールを変更する場合、クラウドサービス名またはログタイプのパラメーターは変更できません。[クラウドサービス名] パラメーターは、クラウドサービスコードを指定します。
クラウドサービスに対して、異なるログタイプの収集ルールを複数作成できます。システムがクラウドサービスインスタンスからログを収集するときに、収集ルールがマージされて適用されます。クラウドサービスのすべての収集ルールが無効化または削除された場合にのみ、クラウドサービスインスタンスのログ収集が無効になります。
クラウドサービスのすべての収集ルールを無効化または削除した場合、収集ルールに基づいてログが収集されたクラウドサービスインスタンスについてのみ、ログ収集が無効になります。その他のクラウドサービスインスタンスについては、クラウドサービスのコンソールまたは Simple Log Service コンソールで CloudLens アプリケーションを使用してログ収集を有効にしている場合、ログ収集は有効のままです。
収集ルールのパラメーター
基本パラメーター
パラメーター | 説明 |
ポリシー名 | 収集ルール名。Alibaba Cloud アカウント内でグローバルに一意である必要があり、長さは 3 ~ 63 文字で、文字で始まる必要があります。 |
クラウドサービス名 | クラウドサービスの名前。詳細については、「クラウドサービスログ収集の利用上の注意」をご参照ください。 |
ログタイプ | ログのタイプ。詳細については、「クラウドサービスログ収集の利用上の注意」をご参照ください。 |
リソース照合モード |
|
インスタンス | ログが収集されるインスタンス。リソース照合モードパラメーターを [インスタンスモード] に設定した場合にのみ有効になります。システムは、このパラメーターで選択したインスタンスからのみログを収集します。 説明 [インスタンス] ドロップダウンリストにオプションがない場合は、手動入力が可能です。クラウドサービスに対して少なくとも 1 つの収集ルールを作成すると、ドロップダウンリストに既存のインスタンスの名前が自動的に表示されます。 |
リージョン、リソースタグ |
|
グローバルログストレージリージョン | グローバルログを収集するリージョン。ログタイプ パラメーターをグローバルログタイプに設定した場合にのみ使用できます。プロジェクトにリージョンが指定されていない場合にのみ、このパラメーターを設定します。
|
一元ストレージ構成
データ変換後、ログは一元化された保存先に書き込まれます。デフォルトのログ配信先が複数の一元化された保存先に書き込む必要がある場合は、すべての保存先が存在することを確認してください。一元化された保存先を削除するには、まず関連する収集ルールを削除します。そうしないと、他の保存先への通常の書き込みに影響を与える可能性があります。
パラメーター | 説明 |
一元ストレージの保存先プロジェクト | 一元ストレージの保存先プロジェクト。値は、作成する収集ルールの関連付けられたプロジェクトとして固定されます。このパラメーターは変更できません。 |
一元ストレージの保存先ストア |
|
データ保存期間 | このパラメーターは、ログストアを作成する場合にのみ有効になります。ログストアにログが保存される期間を指定します。このパラメーターを設定した場合、既存のログストアに設定されているデータ保存期間は変更されません。 |
複数アカウント構成
リソースディレクトリを作成します。
リソースディレクトリの管理アカウントまたは委任された管理者アカウントのみが複数アカウントモードを有効にできます。詳細については、「リソースディレクトリとは」をご参照ください。
管理アカウントを使用して Resource Management コンソール にログインし、リソースディレクトリを有効にする。
リソースディレクトリにメンバーを作成するか、既存のAlibaba Cloud アカウントを招待してリソースディレクトリに参加させます。次に、すべてのメンバーをフォルダーに移動します。
詳細については、「メンバーを作成する」、「Alibaba Cloud アカウントをリソースディレクトリに参加するように招待する」、および「メンバーを移動する」をご参照ください。
[複数アカウントモード] パラメーターを設定します。
複数アカウントモード
説明
すべて
リソースディレクトリのすべてのメンバーから指定されたクラウドサービスログを収集します。
管理アカウントまたは委任された管理者アカウントを使用して収集ルールを作成した場合、リソースディレクトリのすべてのメンバーが影響を受けます。メンバーがリソースディレクトリに追加されると、収集ルールがメンバーに自動的に適用されます。メンバーがリソースディレクトリから削除されると、ルールの適用範囲が調整されます。
カスタム
リソースディレクトリの一部のメンバーから指定されたクラウドサービスログを収集します。
管理アカウントまたは委任された管理者アカウントを使用して収集ルールを作成した場合、リソースディレクトリで選択されたメンバーのみが影響を受けます。他のメンバーは影響を受けません。
一般的なエラーコード、エラーメッセージ、および説明
エラーコード | エラーメッセージ | 説明 |
NotMatch | productCode or dataCode are not match to current productCode or dataCode | 収集ルールを変更する場合、ルール内のクラウドサービス名またはログタイプのパラメーターを変更することはできません。変更しようとすると、不一致エラーが発生します。 |
PolicyNotExist | the collection policy does not exist | クエリまたは削除操作で要求された収集ルールが存在しません。 |
InvalidSLR | SLR not exist or created failed | サービスロールが存在しないか、作成に失敗しました。新しいバージョンのログ監査サービスで収集ルールを作成すると、システムは現在の Alibaba Cloud アカウントと作成されたリソースディレクトリのメンバーに、AliyunServiceRoleForSLSAudit という名前のサービスロールを自動的に作成します。詳細については、「AliyunServiceRoleForSLSAudit サービスロールを管理する」をご参照ください。 |
InvalidRAM | RAM is not enough for execute this action, please check current account ram policy of this operation | Resource Access Management (RAM) ユーザーに、新しいバージョンのログ監査サービスを管理する権限がありません。詳細については、「RAM ユーザーに新しいバージョンのログ監査サービスを使用する権限を付与する」をご参照ください。 |
InvalidProductData | Invalid Product Code or Data Code | クラウドサービス名またはログタイプのパラメーターが無効です。 |
InvalidProductData | Invalid Policy Name | ポリシー名パラメーターが無効です。 |
InvalidPolicyConfig | Policy Config : resourceMode should be all/instanceMode/attributeMode | リソース照合モードパラメーターを[すべてのリソース]、[インスタンスモード]、または[属性モード]に設定する必要があります。 |
InvalidPolicyConfig | Policy Config : resourceMode should be all for lens global log type | グローバルログの場合、リソース照合モードパラメーターを[すべてのリソース]に設定する必要があります。 |
InvalidPolicyConfig | Policy Config : resourceMode should be attribute mode for security log type | セキュリティログの場合、リソース照合モードパラメーターを[属性モード]に設定する必要があります。 |
InvalidPolicyConfig | Policy Config : you should set at least one center region for security log type | セキュリティログの場合、少なくとも 1 つのリージョンをリージョン属性として指定する必要があります。 |
InvalidPolicyConfig | Policy Config : this productCode and dataCode not allowed to config instance ids | セキュリティログの場合、インスタンスパラメーターを設定することはできません。 |
InvalidConfig | Please check if the project/logstore belongs to you or the project/logstore in right region | 一元ストレージの保存先プロジェクトまたはログストアが現在のアカウントに属していないか、指定されたリージョンが現在のログストアが存在するリージョンではありません。 |
InvalidConfig | policyCode and dataCode is required when you need to list policy by instanceId that meet the filter conditions | インスタンス ID で収集ルールをクエリする場合は、クラウドサービス名とログタイプのパラメーターを設定する必要があります。 |
InvalidCentralizeConfig | when centralizeEnabled, you should set at least one centralize config | 一元ストレージ構成を有効にした後、一元ストレージの保存先ストアパラメーターを設定する必要があります。 |
InvalidCentralizeConfig | centralize config is necessary for security product log collection | セキュリティログの場合、一元ストレージ構成を有効にする必要があります。 |
InvalidCentralizeConfig | dest project, dest logstore, dest region, dest ttl should not be empty when centralize enabled | 一元ストレージ構成を有効にした後、一元ストレージの保存先プロジェクト、一元ストレージの保存先ストア、およびデータ保存期間パラメーターを設定する必要があります。 |
InvalidCentralizeConfig | dest project invalid for centralize config | 一元ストレージの保存先プロジェクトパラメーターが無効です。 |
InvalidCentralizeConfig | dest logstore invalid for centralize config | 一元ストレージの保存先ストアパラメーターが無効です。 |
InvalidCentralizeConfig | dest region invalid for centralize config | 一元ストレージの保存先プロジェクトが存在するリージョンが無効です。 |
InvalidResourceDirectoryConfig | Policy ResourceDirectory Config : when you set resource directory, you should set account group type first | リソースディレクトリを設定する場合は、[複数アカウントモード] パラメーターを設定する必要があります。 |
InvalidResourceDirectoryConfig | Policy ResourceDirectory Config: instance mode not allowed to set resource directory | 複数アカウントモードが有効になっている場合、リソース照合モードパラメーターを[インスタンスモード]に設定することはできません。 |
InvalidResourceDirectoryConfig | Policy ResourceDirectory Config : members should not be empty | [複数アカウントモード] パラメーターを[カスタム]に設定する場合は、メンバーを指定する必要があります。 |
InvalidResourceDirectoryConfig | Policy ResourceDirectory Config : centralize config enabled is required for resource directory | リソースディレクトリは新しいバージョンのログ監査サービスに固有であるため、リソースディレクトリを作成するときは一元ストレージを有効にする必要があります。 |
InvalidResourceDirectoryConfig | Policy ResourceDirectory Config : the account resource directory not in use | 現在のアカウントでは、リソースディレクトリが有効になっていません。 |
InvalidResourceDirectoryConfig | Policy ResourceDirectory Config : the account is neither a delegated admin nor a master, just a member account | 現在のアカウントは管理アカウントまたは委任された管理者アカウントではなく、リソースディレクトリのメンバーです。メンバーは、収集ルールで複数アカウントモードを設定できません。 |
InvalidResourceDirectoryConfig | Policy ResourceDirectory Config : custom members include invalid account | [複数アカウントモード] パラメーターを[カスタム]に設定した後、無効なメンバーが指定されています。 |
InvalidDataConfig | Policy DataConfig: the data region is not valid | グローバルログの場合、グローバルログストレージリージョンパラメーターが無効です。 |
InvalidDataConfig | Policy DataConfig: this kind of product is not allowed to set data config | グローバルログ以外に設定を行うことはできません。 |
InvalidDataConfig | Policy DataConfig: the data region already exist in other policy, you cannot change | グローバルログの場合、グローバルログストレージリージョンパラメーターを設定すると、パラメーターを変更できなくなります。 |
関連情報
RAM ユーザーを使用して新しいバージョンのログ監査サービスを管理する場合は、Alibaba Cloud アカウントを使用して、必要な権限を RAM ユーザーに付与します。詳細については、「RAM ユーザーに新しいバージョンのログ監査サービスを使用する権限を付与する」をご参照ください。
サポートされているクラウドサービスのログタイプ、デフォルトのプロジェクト名とログストア名、および請求の詳細については、「クラウドサービスログ収集の利用上の注意」をご参照ください。
複数の Alibaba Cloud アカウントからクラウドサービスログを収集する場合は、リソースディレクトリを有効にする。次に、リソースディレクトリの管理アカウントまたは委任された管理者アカウントを使用して、必要なクラウドサービスの収集ルールを設定します。収集ルールを設定すると、クラウドサービスログはリソースディレクトリのメンバーから指定されたプロジェクトに収集されます。詳細については、「クラウドサービスログ収集の利用上の注意」をご参照ください。