本文介绍如何在日志审计服务中选择云产品进行日志采集。

前提条件

  • 已注册阿里云账号。

    建议使用阿里云RAM用户,该RAM用户需具备RAM读权限(例如已被授权AliyunRAMReadOnlyAccess策略),且对日志服务有读写权限(例如被授权AliyunLogFullAccess策略)。

  • 已开通日志服务。

    首次登录日志服务控制台时,根据页面提示开通日志服务。

  • 待采集日志的云产品已开启相应的服务。更多信息,请参见云产品覆盖及相关资源

首次配置

  1. 登录日志服务控制台
  2. 日志应用区域,单击日志审计服务
  3. 云产品接入 > 全局配置页面,配置如下信息。
    1. 中心项目Project所在区域下拉列表中,选择日志中心化存储的目标地域。
      目前支持华北2(北京)、华北5(呼和浩特)、华东1(杭州)、华东2(上海)、华南1(深圳)、新加坡、日本(东京)。
    2. 配置采集同步授权。
      日志审计服务支持手动授权和通过账号密钥辅助授权。
      • 手动授权:请参见同一账号:手动授权
      • 通过账号密钥辅助授权:输入账号的AK信息,AK信息不会被保存,仅临时使用。

        此处AK对应的RAM用户需具备RAM读写权限(例如已被授权AliyunRAMFullAccess策略)。

    3. 在云产品列表中,选择需开启日志审计功能的云产品,并配置存储时间。
      如果是SLB 7层访问日志、OSS访问日志、PolarDB-X审计日志,还可以选择同步到中心。开启同步到中心后,区域化Project将作为中转,不需要存储很长时间,控制台会自动调整成推荐的时间。
    4. 单击确定
  4. 在左侧导航栏,选择云产品接入 > 接入状态,查看日志接入状态。
    配置完成后,需要2分钟左右完成初始同步。如果出现异常,请根据页面提示信息进行调整。更多信息,请参见常见问题及错误排查

配置多账号

日志审计服务支持跨账号采集云产品日志到当前账号下的日志库中。在开始采集前,您需要先完成多账号配置。

  1. 登录日志服务控制台
  2. 日志应用区域,单击日志审计服务
  3. 多账号配置 > 全局配置页面,配置如下信息。
    日志审计服务支持手动授权和通过账号密钥服务授权。
    • 手动授权:输入主账号ID,可配置多个。对应的账号权限配置请参见多账号配置:手动授权
    • 通过账号密钥辅助授权:在其他账号授权日志服务采集文本框中输入其他账号的AK信息及其主账号ID。AK信息不会被保存,仅临时使用。

      此处AK对应的RAM用户需具备RAM读写权限(例如已被授权AliyunRAMFullAccess策略)。

  4. 在左侧导航栏,选择云产品接入 > 接入状态,查看日志接入状态。
    配置完成后,需要2分钟左右完成初始同步。如果出现异常,请根据页面提示信息进行调整。更多信息,请参见常见问题及错误排查

停止采集日志

如果您不再需要采集云产品日志但想要保留已采集的日志,可参见以下步骤。

  1. 登录日志服务控制台
  2. 日志应用区域,单击日志审计服务
  3. 云产品接入 > 全局配置页面,单击右上角的修改
  4. 关闭目标日志选项,单击确定

删除审计资源

如果您需要清理并删除日志审计服务相关的所有日志资源(如Logstore、仪表盘、告警等),可参见以下操作。

  1. 登录日志服务控制台
  2. 日志应用区域,单击日志审计服务
  3. 云产品接入 > 全局配置页面,单击右上角的删除审计资源
  4. 根据页面提示,完成删除。

常见问题及错误排查

  • 如何查看接入状态?

    云产品接入 > 接入状态中查看接入状态。

  • 显示账号没有权限或密钥错误,怎么处理?

    请检查账号权限是否配置正确。如果是同一账号下的采集,请参见同一账号:手动授权,如果是跨账号采集,请参见多账号配置:手动授权。例如:账号中的sls-audit-service-monitor角色没有被授予系统策略下的ReadOnlyAccess策略。

  • 显示账号没有开启特定服务,怎么处理?

    一般是由于某个云产品没有开启特定服务,更多信息,请参见云产品覆盖及相关资源,例如:已开通云安全中心,但未开通日志分析功能。