使用新版日誌審計服務啟動雲產品採集後,您能在關聯的Project中管理規則,包括建立、修改、禁用與刪除。本文指導您如何管理這些採集規則。
操作步驟
控制台
進入採集規則頁面。
登入Log Service控制台。在日誌應用地區的審計與安全頁簽,單擊新版日誌審計服務。
單擊目標Project名稱。在雲產品頁簽單擊對應雲產品卡片,或者在規則列表頁簽單擊建立採集規則。
管理雲產品採集規則。您可以建立新的採集規則,也可以對已建立的採集規則進行修改、禁用或刪除。
重要修改採集規則時,不允許修改日誌類型和雲產品名稱,否則會報錯。
每個雲產品可以為不同日誌類型建立多個採集規則。在某個雲產品執行個體中,這些採集規則會合并應用。只有當所有採集規則被禁用或刪除時,執行個體的日誌採集功能才會關閉。
禁用或刪除雲產品採集規則,只會關閉被雲產品採集規則開啟過的執行個體日誌,不會關閉在雲產品控制台或CloudLens手動開啟的雲產品日誌採集。
調用API
調用API時服務地址必須為華東2(上海)或新加坡。
禁用或刪除雲產品採集規則,只會關閉被雲產品採集規則開啟過的執行個體日誌,不會關閉在雲產品控制台或CloudLens手動開啟的雲產品日誌採集。
每個雲產品可以為不同日誌類型建立多個採集規則。在某個雲產品執行個體中,這些採集規則會合并應用。只有當所有採集規則被禁用或刪除時,執行個體的日誌採集功能才會關閉。
修改採集規則時,不允許修改日誌類型和雲產品名稱,否則會報錯。
建立、修改、禁用日誌審計採集規則,請參見:
採集規則參數說明
基礎參數
屬性 | 說明 |
規則名稱 | 一個帳號下全域唯一。最短3個字元,最長63個字元,必須以字母開頭。 |
雲產品名稱 | 請參見雲產品採集注意事項。 |
日誌類型 | 請參見雲產品採集注意事項。 |
資源匹配模式 |
|
執行個體列表 | 只有當資源匹配模式為執行個體模式時有效,只採集執行個體ID在集合中的執行個體。 說明 如果執行個體下拉式清單中沒有選項,允許手動輸入。當您為該雲產品建立至少一條資料擷取規則時,下拉式清單會自動展示已存在的執行個體名稱。 |
地區列表、資源標籤 |
|
全域日誌儲存地區 | 只有當日誌類型為全域日誌類型時才支援配置,表示首次配置時全域日誌將被採集到對應地區。
|
中心化配置
日誌通過資料加工寫入中心化目標庫,當預設投遞的日誌庫需要寫入多個中心化目標庫時,應確保每個目標庫均存在。若需刪除某中心化目標庫,須先移除相關的採集規則,否則可能影響其他目標庫的正常寫入。
屬性 | 說明 |
中心化目標專案 | 中心化轉投的Project,固定為採集規則的關聯Project,不可修改。 |
中心化目標存放庫 |
|
中心化儲存日誌天數 | 只有當建立Logstore時生效,用於初始化建立Logstore的日誌儲存天數。這參數不會修改已有Logstore的日誌儲存天數。 |
多帳號配置
使用資來源目錄構建多帳號結構。只有資來源目錄管理員或委派管理員才能開啟多帳號模式。
配置多帳號模式。
多帳號模式
說明
全員(all)
採集全部成員帳號的指定雲產品日誌。
管理員或委派管理員配置的雲產品採集規則,會影響資來源目錄配置下的全部成員帳號。如果資來源目錄下有帳號新增或變更,將會自動進行相應的規則建立或變更。
自訂(custom)
選擇部分成員帳號的指定雲產品日誌。
管理員或委派管理員配置的雲產品採集規則,只會影響自訂配置下的成員帳號列表,不會影響其他成員帳號。
常見錯誤碼、錯誤資訊及說明
錯誤碼 | 錯誤資訊 | 說明 |
DeregisterDA.Deny.TrustedService | 禁止,當前管理帳號已配置統一接入api下的resource directory,請先更新或者刪除統一接入相關配置。 | 如果移除資來源目錄、可信服務、委派管理員之前,遇到如下報錯, 說明當前委派管理員帳號下存在採集規則尚未移除。 解決方式:
|
NotMatch | productCode or dataCode are not match to current productCode or dataCode | 修改規則時,日誌類型和產品碼不允許發生改變,否則會有不匹配錯誤。 |
PolicyNotExist | the collection policy does not exist | 使用者查詢或者刪除一個不存在的規則。 |
InvalidSLR | SLR not exist or created failed | 服務關聯角色不存在或者建立失敗。當使用者使用日誌審計建立規則後,日誌審計會自動在當前帳號和成員帳號(開通資來源目錄後)下,自動建立管理服務關聯角色AliyunServiceRoleForSLSAudit。 |
InvalidRAM | RAM is not enough for execute this action, please check current account ram policy of this operation | RAM使用者沒有動作記錄審計的許可權,請參考授權RAM使用者動作記錄審計(新版)。 |
InvalidProductData | Invalid Product Code or Data Code | 無效的產品碼和日誌類型碼。 |
InvalidProductData | Invalid Policy Name | 無效的規則名稱。 |
InvalidPolicyConfig | Policy Config : resourceMode should be all/instanceMode/attributeMode | 資源模式只支援全部資源(all)、執行個體模式(instanceMode)、屬性模式( attributeMode) 三種。 |
InvalidPolicyConfig | Policy Config : resourceMode should be all for lens global log type | 對於洞察全域日誌類型,資源模式只能配置為全部資源(all)。 |
InvalidPolicyConfig | Policy Config : resourceMode should be attribute mode for security log type | 對於安全日誌類型,資源模式只能配置為屬性模式( attributeMode)。 |
InvalidPolicyConfig | Policy Config : you should set at least one center region for security log type | 對於安全日誌類型,使用者至少需要配置一個一級中心地區來源。 |
InvalidPolicyConfig | Policy Config : this productCode and dataCode not allowed to config instance ids | 對於安全日誌類型,不允許配置執行個體列表。 |
InvalidConfig | Please check if the project/logstore belongs to you or the project/logstore in right region | 中心化配置的記錄項目或日誌庫不屬於當前帳號,或者配置的地區不是當前日誌庫所在的地區。 |
InvalidConfig | policyCode and dataCode is required when you need to list policy by instanceId that meet the filter conditions | 當需要按照執行個體ID進行尋找匹配規則時,產品碼和日誌類型碼是必填的。 |
InvalidCentralizeConfig | when centralizeEnabled, you should set at least one centralize config | 當中心化選項配置開啟時,需要配置對應的中心化日誌庫資訊。 |
InvalidCentralizeConfig | centralize config is necessary for security product log collection | 對於安全類型日誌,必須配置中心化。 |
InvalidCentralizeConfig | dest project, dest logstore, dest region, dest ttl should not be empty when centralize enabled | 當中心化選項配置開啟時,中心化記錄項目、日誌庫、日誌儲存周期,都不可為空。 |
InvalidCentralizeConfig | dest project invalid for centralize config | 中心化配置記錄項目無效。 |
InvalidCentralizeConfig | dest logstore invalid for centralize config | 中心化配置日誌庫無效。 |
InvalidCentralizeConfig | dest region invalid for centralize config | 中心化配置地區無效。 |
InvalidResourceDirectoryConfig | Policy ResourceDirectory Config : when you set resource directory, you should set account group type first | 當配置資來源目錄時,必須配置多帳號模式。 |
InvalidResourceDirectoryConfig | Policy ResourceDirectory Config: instance mode not allowed to set resource directory | 如果開啟了多帳號資來源目錄設定,那麼不允許配置資源屬性為執行個體模式。 |
InvalidResourceDirectoryConfig | Policy ResourceDirectory Config : members should not be empty | 當多帳號模式為自訂時,必須配置成員列表且不可為空。 |
InvalidResourceDirectoryConfig | Policy ResourceDirectory Config : centralize config enabled is required for resource directory | 因為資來源目錄是日誌審計特有,因此開啟資來源目錄配置,必須開啟中心化轉投。 |
InvalidResourceDirectoryConfig | Policy ResourceDirectory Config : the account resource directory not in use | 當前帳號沒有開啟資來源目錄。 |
InvalidResourceDirectoryConfig | Policy ResourceDirectory Config : the account is neither a delegated admin nor a master, just a member account | 當前帳號既不是管理員也不是委派管理員,只是一個成員帳號,因此不允許配置規則下的資來源目錄模式。 |
InvalidResourceDirectoryConfig | Policy ResourceDirectory Config : custom members include invalid account | 多帳號模式為自訂的情況下,配置的成員帳號列表中包含了無效的帳號ID。 |
InvalidDataConfig | Policy DataConfig: the data region is not valid | 全域類型的日誌的預設投遞地區配置無效。 |
InvalidDataConfig | Policy DataConfig: this kind of product is not allowed to set data config | 當前產品類型或日誌類型不是全域類型的日誌,因此不允許配置。 |
InvalidDataConfig | Policy DataConfig: the data region already exist in other policy, you cannot change | 對於全域類型的日誌,一旦配置了預設投遞地區,則首次配置即生效,不允許修改。 |
相關文檔
如果使用RAM使用者操作新版日誌審計服務,需要使用阿里雲主帳號為RAM使用者授予相應許可權,具體步驟請參見授權RAM使用者動作記錄審計(新版)。
各個雲產品的日誌類型、預設Project名稱、預設Logstore名稱、日誌計費等資訊請參見雲產品採集注意事項。
如果需要採集多個雲帳號下的雲產品日誌,需要先開通資來源目錄,然後使用資來源目錄的管理員或委派管理員配置雲產品採集規則,將成員帳號的雲產品日誌採集到指定Project,操作步驟請參見雲產品採集注意事項。