全部產品
Search

搜尋本產品

    Simple Log Service:使用前須知

    文件中心

    Simple Log Service:使用前須知

    更新時間:Mar 14, 2026

    本文介紹日誌審計服務的使用限制、費用說明等資訊。

    使用限制

    • 儲存方式與地區限制

      重要

      使用日誌審計服務進行日誌地區化儲存或中心化儲存前,請合理評估儲存地區是否滿足相關法律法規和安全監管的要求。

      • 中心化儲存

        從各個阿里雲帳號、各個地區採集到的日誌,會儲存到中心帳號下的一個中心Project中,目前中心化儲存可供選擇的地區如下所示。

        說明

        當您切換中心帳號所在地區時,Log Service為您建立一個新的中心Project,原Project不會被刪除。

        • 中國:華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華東1(杭州)、華東2(上海)、華南1(深圳)、中國(香港)

        • 海外:新加坡、日本(東京)、德國(法蘭克福)、印尼(雅加達)、馬來西亞(吉隆坡)

      • 地區化儲存

        針對SLB、ALB、OSS、PolarDB-X 1.0、VPC和DNS,日誌審計服務支援將各個主帳號採集到的日誌儲存到中心主帳號下的各個與SLB、ALB、OSS、PolarDB-X 1.0和VPC執行個體處於相同地區的Log ServiceProject中(例如:杭州的OSS訪問日誌,儲存到杭州的Log ServiceProject中)。

      • 同步到中心

        針對SLB、ALB、OSS、PolarDB-X 1.0、VPC和DNS的地區化儲存,支援將各個地區的LogStore同步到一個中心化的LogStore中,以便做中心化查詢、分析、警示、可視化、二次開發等。

        說明

        同步機制依賴Log Service資料加工,建議使用者根據資料加工效能指南及時調整地區化LogStore的Shard資源等,避免影響加工同步速率。

    • 資源限制

      • 中心主帳號下對應的中心化Project只有一個,名為slsaudit-center-中心化主帳號ID-配置的地區,例如:slsaudit-center-117938634953****-cn-beijing。無法通過控制台刪除中心化Project,只能通過命令列、API刪除。

      • 針對SLB、ALB、OSS、PolarDB-X 1.0、VPC和DNS,可以有多個地區化Project,名為slsaudit-region-中心化主帳號ID-各個採集的地區,例如:slsaudit-region-117938634953****-cn-beijing。無法通過控制台刪除地區化Project,只能通過命令列、API刪除。

      • 配置雲產品日誌採集後,日誌審計服務會建立專屬LogStore,具備Log ServiceLogStore所有的功能,除以下操作限制。

        • 保護資料不被篡改,您無法自行寫入資料,修改或刪除索引。

        • 只能通過日誌審計服務的配置頁面或介面修改儲存周期、刪除LogStore。

        • 針對SLB、ALB、OSS、PolarDB-X 1.0、VPC和DNS,如果開啟了同步到中心功能,在對應的地區化Project中,會產生資料加工任務。

          • 資料加工任務名為Internal Job: SLS Audit Service Data Sync for OSS Access、Internal Job: SLS Audit Service Data Sync for SLB、Internal Job: SLS Audit Service Data Sync for ALB、Internal Job: SLS Audit Service Data Sync for DRDS、Internal Job: SLS Audit Service Data Sync for VPC、Internal Job: SLS Audit Service Data Sync for DNS。

          • 您只能通過日誌審計服務的配置頁面或介面關閉該資料加工任務。

          • 開啟了同步到中心功能的地區化LogStore會同步為專屬的LogStore,您無法進行任何操作,如果需要進行查詢等操作時,可以直接在中心化LogStore中操作。

    • 許可權限制

      通過日誌審計服務採集Kubernetes日誌(Kubernetes審計日誌、Kubernetes事件中心、Ingress訪問日誌)時,您需要瞭解如下許可權限制。

      • 日誌審計服務僅支援採集中心帳號下的Kubernetes日誌,不支援採集多帳號配置中的其他阿里雲帳號下的Kubernetes日誌。

      • 日誌審計服務採集Kubernetes日誌依賴資料加工功能。如果您通過日誌審計服務採集Kubernetes日誌,則中心帳號需完成如下授權。

        說明項

        中心帳號未升級

        中心帳號已升級

        當前中心帳號角色

        sls-audit-service-monitor

        AliyunServiceRoleForSLSAudit

        額外授權

        sls-audit-service-monitor角色需具備AliyunLogAuditServiceMonitorAccess許可權和如下自訂許可權(AliyunLogAuditServiceK8sAccess)。

        {
    "Version": "1",
    "Statement": [
        {
            "Action": "log:*",
            "Resource": [
                "acs:log:*:*:project/k8s-log-*"
            ],
            "Effect": "Allow"
        }
    ]
}

        只需具備AliyunServiceRoleForSLSAudit角色許可權,無需額外授權。

    • 儲存天數聯動說明

      • 日誌審計服務中的內網DNS日誌(中心化)、公網DNS解析日誌、全域流量管理日誌、都儲存在同一個LogStore(dns_log)中,如果同時開啟採集且設定的儲存天數不同,則日誌儲存天數為開啟者中心化儲存天數的最大值。

      • 日誌審計服務中的RDS審計日誌、慢日誌和錯誤記錄檔都儲存在同一個LogStore(rds_log)中,如果同時開啟採集且設定的儲存天數不同,則日誌儲存天數為開通者的中心化儲存天數的最大值。

      • 日誌審計服務中的PolarDB MySQL審計日誌、慢日誌和錯誤記錄檔都儲存在同一個LogStore(polardb_log)中,如果同時開啟採集且設定的儲存天數不同,則日誌儲存天數為開通者的中心化儲存天數的最大值。

      • 日誌審計服務中的Cloud Firewall的互連網邊界防火牆流量日誌、VPC邊界防火牆流量日誌都儲存在同一個LogStore(cloudfirewall_log)中,如果同時開啟採集且設定的儲存天數不同,則日誌儲存天數為開通者的中心化儲存天數的最大值。

      • 日誌審計服務中的DDoS高防(新BGP)訪問日誌、DDoS高防(國際)訪問日誌、DDoS原生防護訪問日誌都儲存在同一個LogStore(ddos_log)中,如果同時開啟採集且設定的儲存天數不同,則日誌儲存天數為開通者的中心化儲存天數的最大值。

      • 日誌審計服務中的K8s審計日誌、K8s事件中心都儲存在同一個LogStore(k8s_log)中,如果同時開啟採集且儲存天數不同,則日誌儲存天數為開通者的中心化儲存天數的最大值。

      • 日誌審計服務中的配置審計變更日誌、配置審計資源不合規日誌都儲存在同一個LogStore(cloudconfig_log)中,如果同時開啟採集且儲存天數不同,則日誌儲存天數為開通者的中心化儲存天數的最大值。

      說明

      針對上述儲存天數存在聯動的日誌類型,如果同時開啟日誌採集及智能階層式存放區功能,則熱儲存天數為開通者的熱儲存天數的最大值;如果開啟了日誌採集但沒有同時開啟智能階層式存放區功能,則預設關閉智能階層式存放區功能。

      例如您開啟了RDS審計日誌和錯誤記錄檔的採集,如果同時開啟了兩者的智能階層式存放區功能,則熱儲存天數為二者中的最大值;如果您只開啟RDS審計日誌的智能階層式存放區功能,沒有開啟RDS錯誤記錄檔的智能階層式存放區功能,則預設關閉其所在LogStore(rds_log)的智能階層式存放區功能。

    • 配置審計

      • 日誌審計服務依賴配置審計服務提供的配置類資訊,您需在配置審計控制台開通配置審計服務,並開啟全部資源的監控範圍。

      • 如果您需要在日誌審計服務中採集、儲存或查詢配置審計日誌,您需同意授權Log Service提取您在配置審計中記錄的日誌。授權後,您的配置審計日誌將被自動推送到Log Service中。

      • 如果您通過資來源目錄管理員模式進行多帳號採集,在中心帳號授權後日誌審計服務將會自動對資來源目錄配置的帳號開通配置審計並整合Log Service;如果您通過自訂鑒權管理員模式進行多帳號採集,在中心帳號授權後,其他成員帳號還需進行額外的授權。具體操作,請參見自訂授權日誌採集與同步

    • 智能階層式存放區

      日誌審計服務的專屬LogStore支援智能階層式存放區功能。相對熱儲存而言,低頻儲存成本更低,其資料的查詢與分析效能有所降低,其餘功能(例如警示、可視化、加工、投遞等)不受影響。更多資訊,請參見管理智能儲存分層

      說明

      目前已支援智能階層式存放區的審計中心地區為華北1(青島)、華北2(北京)、華北5(呼和浩特)、華東1(杭州)、華東2(上海)、華南1(深圳)、中國(香港)和新加坡。

      您可以在日誌審計服務的全域配置頁面開啟智能階層式存放區,其中熱儲存時間必須大於等於7天且不能超過當前儲存天數。例如當前中心化儲存時間為180天,開啟30天熱儲存,則日誌將在儲存30天之後轉為低頻儲存。

      說明

      日誌審計(舊版)不支援在全域配置裡開啟Archive Storage,如需開啟Archive Storage請提工單進行加白。一旦加白完成,全域配置所設定的儲存天數,僅在日誌庫首次建立時生效,實際天數以LogStore控制台頁面為準。

    • 資料加密

      日誌審計服務支援通過Log Service內建的服務祕密金鑰加密,而非通過使用者內建密鑰(BYOK)加密。Log Service內建密鑰的加密方式支援AES演算法(預設)和國密演算法SM4。更多資訊,請參見資料轉送加密

      開啟日誌加密後,Log Service將自動對當前已開啟採集的雲產品專屬LogStore進行加密,包括中心化Project和地區化Project下的雲產品專屬LogStore。具體操作,請參見開啟加密

    • 索引限制

      日誌審計服務支援自動更新索引或手動修改索引。具體操作,請參見建立索引

      修改索引時,如果系統提示該日誌庫是SLS應用日誌審計專屬庫,不支援修改索引屬性、關閉索引,請在日誌審計服務的全域配置頁面,單擊修改,然後單擊確定,重建日誌審計服務配置。

      重要

      手動修改索引可能導致內建儀錶盤、內建警示等不可用,請謹慎使用。

    費用說明

    • Log Service

      中心主帳號需要開通Log Service與日誌審計服務App,從其他主帳號採集日誌到中心主帳號下。除特定雲產品日誌依賴外,其他主帳號預設無需開通Log Service,也不會在其帳號的Log Service下產生特定費用。目前日誌審計服務免費,其涉及的資料存放區、讀寫流量、資料加工等隨用隨付。更多資訊,請參見按使用功能計費模式計費項目

      重要

      • SLB、ALB、OSS、PolarDB-X 1.0、VPC、DNS、Container ServiceKubernetes版的日誌,在開啟同步到中心後,會使用資料加工功能進行同步,其涉及的加工與跨網流量費用等隨用隨付。更多資訊,請參見按使用功能計費模式計費項目

      • 您可以通過日誌審計服務或普通採集方式採集雲產品日誌,兩種方式各自計算費用。如果使用了兩種方式進行採集,Log Service將儲存兩份資料,但兩者的應用情境不同。

        • 日誌審計服務:支援多賬戶下即時自動化、中心化採集雲產品日誌。所採集到的日誌主要用於合規審計。

        • 普通方式:分地區採集,分散化管理。所採集到的日誌主要用於日誌分析。更多資訊,請參見雲產品日誌概述

      支援免費額度,支援用已購買的資源套件抵扣相應的費用。

    • 雲產品

      開通日誌審計服務與對應雲產品的日誌採集後,在雲產品側可能會產生額外的費用,如下所示。

      雲產品

      額外費用

      Web Application Firewall(WAF)

      在Web Application Firewall控制台上購買Log Service模組,費用詳情請參見計費方式

      Security Center(SAS)

      在Security Center控制台開通日誌分析功能,費用詳情請參見計費說明

      Cloud Firewall(Cloud Firewall)

      在Cloud Firewall控制台上購買日誌分析模組,費用詳情請參見日誌分析計費方式

      雲資料庫RDS

      開啟雲資料庫RDS審計日誌採集功能後,會自動開啟符合條件(支援MySQL的非基礎版本,PostgreSQL高可用版)的RDS執行個體的SQL洞察(SQL審計)功能,費用詳情請參見計費項目

      說明

      • 如果您已為RDS執行個體開通SQL洞察試用版,則開啟採集後,日誌審計服務將自動關閉SQL洞察試用版,並開通SQL洞察正式版。

      • SQL洞察儲存時間長度預設為30天。如果您要修改,需在RDS控制台上操作。具體操作,請參見修改SQL日誌的儲存時間長度。該儲存時間長度與日誌審計服務中的RDS審計日誌的儲存天數互相獨立,互不影響。

        如果您在RDS控制台上設定的SQL洞察儲存時間長度低於30天,則未滿足日誌投遞條件,日誌審計服務會自動將其重設為30天。

      • 如果您已停止採集RDS審計日誌,且希望關閉SQL洞察功能,可在RDS控制台上進行手動關閉。具體操作,請參見關閉SQL洞察

      雲資料庫PolarDB

      開啟雲資料庫PolarDB的審計日誌採集功能後,會自動開啟MySQL叢集的SQL洞察(SQL審計)功能,費用詳情請參見計費項目概覽

      說明

      • 如果您已為PolarDB執行個體開通SQL洞察試用版,則開啟採集後,日誌審計服務將自動關閉SQL洞察試用版,並開通SQL洞察正式版。

      • SQL洞察儲存時間長度預設為30天。如果您要修改,需在PolarDB控制台上操作。具體操作,請參見修改SQL日誌的儲存時間長度。該儲存時間長度與日誌審計服務中的PolarDB審計日誌的儲存天數互相獨立,互不影響。

        如果您在PolarDB控制台上設定的SQL洞察儲存時間長度低於30天,則未滿足日誌投遞條件,日誌審計服務會自動將其重設為30天。

      • 如果您已停止採集PolarDB審計日誌,且希望關閉SQL洞察功能,可在PolarDB控制台上進行手動關閉。具體操作,請參見關閉SQL洞察和審計

      DDoS防護

      在DDoS高防(新BGP)控制台上購買全量日誌分析模組,費用詳情請參見概述

      VPC

      流日誌的計費項目由流日誌產生費和Log Service的服務費組成。更多資訊,請參見流日誌計費說明

      說明

      • 您可以通過日誌審計服務或VPC控制台開啟VPC流日誌的採集,兩種方式相互獨立(開啟和關閉都互不影響),各自計算流日誌費用(流日誌產生費+Log Service的服務費)。

      • 刪除日誌審計相關Project前,需先關閉VPC流日誌的採集,否則對應VPC執行個體的流日誌功能仍將處於開啟狀態。

      DNS

      流量分析費用, 請參見DNS