使用新版日誌審計服務啟動雲產品採集後,您能在關聯的Project中管理規則,包括建立、修改、禁用與刪除。本文指導您如何管理這些採集規則。
操作步驟
控制台
-
進入採集規則頁面。
-
登入Log Service控制台。在日誌應用地區的審計與安全頁簽,單擊新版日誌審計服務。
-
單擊目標Project名稱。在雲產品頁簽單擊對應雲產品卡片,或者在規則列表頁簽單擊建立採集規則。
-
-
管理雲產品採集規則。您可以建立新的採集規則,也可以對已建立的採集規則進行修改、禁用或刪除。
重要-
修改採集規則時,不允許修改日誌類型和雲產品名稱,否則會報錯。
-
每個雲產品可以為不同日誌類型建立多個採集規則。在某個雲產品執行個體中,這些採集規則會合并應用。只有當所有採集規則被禁用或刪除時,執行個體的日誌採集功能才會關閉。
-
禁用或刪除雲產品採集規則,只會關閉被雲產品採集規則開啟過的執行個體日誌,不會關閉在雲產品控制台或CloudLens手動開啟的雲產品日誌採集。
-
調用API
-
調用API時服務地址必須為華東2(上海)或新加坡。
-
禁用或刪除雲產品採集規則,只會關閉被雲產品採集規則開啟過的執行個體日誌,不會關閉在雲產品控制台或CloudLens手動開啟的雲產品日誌採集。
-
每個雲產品可以為不同日誌類型建立多個採集規則。在某個雲產品執行個體中,這些採集規則會合并應用。只有當所有採集規則被禁用或刪除時,執行個體的日誌採集功能才會關閉。
-
修改採集規則時,不允許修改日誌類型和雲產品名稱,否則會報錯。
建立、修改、禁用日誌審計採集規則,請參見:
採集規則參數說明
基礎參數
|
屬性 |
說明 |
|
規則名稱 |
一個帳號下全域唯一。最短3個字元,最長63個字元,必須以字母開頭。 |
|
雲產品名稱 |
請參見雲產品採集注意事項。 |
|
日誌類型 |
請參見雲產品採集注意事項。 |
|
資源匹配模式 |
|
|
執行個體列表 |
只有當資源匹配模式為執行個體模式時有效,只採集執行個體ID在集合中的執行個體。 說明
如果執行個體下拉式清單中沒有選項,允許手動輸入。當您為該雲產品建立至少一條資料擷取規則時,下拉式清單會自動展示已存在的執行個體名稱。 |
|
地區列表、資源標籤 |
|
|
全域日誌儲存地區 |
只有當日誌類型為全域日誌類型時才支援配置,表示首次配置時全域日誌將被採集到對應地區。
|
中心化配置
日誌通過資料加工寫入中心化目標庫,當預設投遞的日誌庫需要寫入多個中心化目標庫時,應確保每個目標庫均存在。若需刪除某中心化目標庫,須先移除相關的採集規則,否則可能影響其他目標庫的正常寫入。
|
屬性 |
說明 |
|
中心化目標專案 |
中心化轉投的Project,固定為採集規則的關聯Project,不可修改。 |
|
中心化目標存放庫 |
|
|
中心化儲存日誌天數 |
只有當建立LogStore時生效,用於初始化建立LogStore的日誌儲存天數。這參數不會修改已有LogStore的日誌儲存天數。 |
多帳號配置
-
使用資來源目錄構建多帳號結構。只有資來源目錄管理員或委派管理員才能開啟多帳號模式。
-
配置多帳號模式。
多帳號模式
說明
全員(all)
-
採集全部成員帳號的指定雲產品日誌。
-
管理員或委派管理員配置的雲產品採集規則,會影響資來源目錄配置下的全部成員帳號。如果資來源目錄下有帳號新增或變更,將會自動進行相應的規則建立或變更。
自訂(custom)
-
選擇部分成員帳號的指定雲產品日誌。
-
管理員或委派管理員配置的雲產品採集規則,只會影響自訂配置下的成員帳號列表,不會影響其他成員帳號。
-
常見錯誤碼、錯誤資訊及說明
|
錯誤碼 |
錯誤資訊 |
說明 |
|
DeregisterDA.Deny.TrustedService |
禁止,當前管理帳號已配置統一接入api下的resource directory,請先更新或者刪除統一接入相關配置。 |
如果移除資來源目錄、可信服務、委派管理員之前,遇到如下報錯, 說明當前委派管理員帳號下存在採集規則尚未移除。 解決方式:
|
|
NotMatch |
productCode or dataCode are not match to current productCode or dataCode |
修改規則時,日誌類型和產品碼不允許發生改變,否則會有不匹配錯誤。 |
|
PolicyNotExist |
the collection policy does not exist |
使用者查詢或者刪除一個不存在的規則。 |
|
InvalidSLR |
SLR not exist or created failed |
服務關聯角色不存在或者建立失敗。當使用者使用日誌審計建立規則後,日誌審計會自動在當前帳號和成員帳號(開通資來源目錄後)下,自動建立管理服務關聯角色AliyunServiceRoleForSLSAudit。 |
|
InvalidRAM |
RAM is not enough for execute this action, please check current account ram policy of this operation |
RAM使用者沒有動作記錄審計的許可權,請參考授權RAM使用者動作記錄審計(新版)。 |
|
InvalidProductData |
Invalid Product Code or Data Code |
無效的產品碼和日誌類型碼。 |
|
InvalidProductData |
Invalid Policy Name |
無效的規則名稱。 |
|
InvalidPolicyConfig |
Policy Config : resourceMode should be all/instanceMode/attributeMode |
資源模式只支援全部資源(all)、執行個體模式(instanceMode)、屬性模式( attributeMode) 三種。 |
|
InvalidPolicyConfig |
Policy Config : resourceMode should be all for lens global log type |
對於洞察全域日誌類型,資源模式只能配置為全部資源(all)。 |
|
InvalidPolicyConfig |
Policy Config : resourceMode should be attribute mode for security log type |
對於安全日誌類型,資源模式只能配置為屬性模式( attributeMode)。 |
|
InvalidPolicyConfig |
Policy Config : you should set at least one center region for security log type |
對於安全日誌類型,使用者至少需要配置一個一級中心地區來源。 |
|
InvalidPolicyConfig |
Policy Config : this productCode and dataCode not allowed to config instance ids |
對於安全日誌類型,不允許配置執行個體列表。 |
|
InvalidConfig |
Please check if the project/LogStore belongs to you or the project/LogStore in right region |
中心化配置的記錄項目或日誌庫不屬於當前帳號,或者配置的地區不是當前日誌庫所在的地區。 |
|
InvalidConfig |
policyCode and dataCode is required when you need to list policy by instanceId that meet the filter conditions |
當需要按照執行個體ID進行尋找匹配規則時,產品碼和日誌類型碼是必填的。 |
|
InvalidCentralizeConfig |
when centralizeEnabled, you should set at least one centralize config |
當中心化選項配置開啟時,需要配置對應的中心化日誌庫資訊。 |
|
InvalidCentralizeConfig |
centralize config is necessary for security product log collection |
對於安全類型日誌,必須配置中心化。 |
|
InvalidCentralizeConfig |
dest project, dest LogStore, dest region, dest ttl should not be empty when centralize enabled |
當中心化選項配置開啟時,中心化記錄項目、日誌庫、日誌儲存周期,都不可為空。 |
|
InvalidCentralizeConfig |
dest project invalid for centralize config |
中心化配置記錄項目無效。 |
|
InvalidCentralizeConfig |
dest LogStore invalid for centralize config |
中心化配置日誌庫無效。 |
|
InvalidCentralizeConfig |
dest region invalid for centralize config |
中心化配置地區無效。 |
|
InvalidResourceDirectoryConfig |
Policy ResourceDirectory Config : when you set resource directory, you should set account group type first |
當配置資來源目錄時,必須配置多帳號模式。 |
|
InvalidResourceDirectoryConfig |
Policy ResourceDirectory Config: instance mode not allowed to set resource directory |
如果開啟了多帳號資來源目錄設定,那麼不允許配置資源屬性為執行個體模式。 |
|
InvalidResourceDirectoryConfig |
Policy ResourceDirectory Config : members should not be empty |
當多帳號模式為自訂時,必須配置成員列表且不可為空。 |
|
InvalidResourceDirectoryConfig |
Policy ResourceDirectory Config : centralize config enabled is required for resource directory |
因為資來源目錄是日誌審計特有,因此開啟資來源目錄配置,必須開啟中心化轉投。 |
|
InvalidResourceDirectoryConfig |
Policy ResourceDirectory Config : the account resource directory not in use |
當前帳號沒有開啟資來源目錄。 |
|
InvalidResourceDirectoryConfig |
Policy ResourceDirectory Config : the account is neither a delegated admin nor a master, just a member account |
當前帳號既不是管理員也不是委派管理員,只是一個成員帳號,因此不允許配置規則下的資來源目錄模式。 |
|
InvalidResourceDirectoryConfig |
Policy ResourceDirectory Config : custom members include invalid account |
多帳號模式為自訂的情況下,配置的成員帳號列表中包含了無效的帳號ID。 |
|
InvalidDataConfig |
Policy DataConfig: the data region is not valid |
全域類型的日誌的預設投遞地區配置無效。 |
|
InvalidDataConfig |
Policy DataConfig: this kind of product is not allowed to set data config |
當前產品類型或日誌類型不是全域類型的日誌,因此不允許配置。 |
|
InvalidDataConfig |
Policy DataConfig: the data region already exist in other policy, you cannot change |
對於全域類型的日誌,一旦配置了預設投遞地區,則首次配置即生效,不允許修改。 |
相關文檔
-
如果使用RAM使用者操作新版日誌審計服務,需要使用阿里雲主帳號為RAM使用者授予相應許可權,具體步驟請參見授權RAM使用者動作記錄審計(新版)。
-
各個雲產品的日誌類型、預設Project名稱、預設LogStore名稱、日誌計費等資訊請參見雲產品採集注意事項。
-
如果需要採集多個雲帳號下的雲產品日誌,需要先開通資來源目錄,然後使用資來源目錄的管理員或委派管理員配置雲產品採集規則,將成員帳號的雲產品日誌採集到指定Project,操作步驟請參見雲產品採集注意事項。