日志审计服务支持快速开启日志采集功能,本文介绍开启日志采集功能以及相关操作的步骤。

前提条件

  • 已注册阿里云账号。

    建议使用阿里云RAM用户,该RAM用户需具备RAM读权限(例如已被授权AliyunRAMReadOnlyAccess策略),且对日志服务有读写权限(例如被授权AliyunLogFullAccess策略)。

  • 待采集日志的云产品已开启相应的服务。更多信息,请参见云产品覆盖及相关资源

首次配置

  1. 登录日志服务控制台
  2. 日志应用区域,单击日志审计服务
  3. 根据页面提示完成授权。
    完成授权后,日志审计服务将使用服务关联角色AliyunServiceRoleForSLSAudit进行云产品的日志采集。更多信息,请参见管理服务关联角色AliyunServiceRoleForSLSAudit
    注意
    • 执行该操作的账号具备AliyunRamFullAccess权限。
    • 本操作只需执行一次。
    AliyunServiceRoleForSLSAudit

开启日志采集功能

  1. 登录日志服务控制台
  2. 日志应用区域,单击日志审计服务
  3. 在左侧导航栏中,选择云产品接入 > 全局配置
  4. 中心项目Project所在区域下拉列表中,选择日志中心化存储的目标地域。
    • 中国:华北2(北京)、华北5(呼和浩特)、华东1(杭州)、华东2(上海)、华南1(深圳)、中国(香港)
    • 海外:新加坡、日本(东京)、德国(法兰克福)、印尼(雅加达)
  5. 在云产品列表中,选择需开启日志采集功能的云产品,并配置存储时间。
    如果是SLB 7层访问日志、OSS访问日志、DRDS审计日志,还可以选择同步到中心。开启同步到中心后,区域化Project将作为中转,不需要存储很长时间,控制台会自动调整成推荐的时间。
  6. 单击保存
    配置完成后,等待2分钟左右,可在云产品接入 > 接入状态页面中查看日志接入状态。如果出现异常,请根据页面提示信息进行调整。更多信息,请参见常见问题及错误排查

相关操作

停止采集日志

如果您不再需要采集云产品日志但想要保留已采集的日志,可参见以下步骤。

  1. 登录日志服务控制台
  2. 日志应用区域,单击日志审计服务
  3. 在左侧导航栏中,选择云产品接入 > 全局配置
  4. 全局配置页面,单击右上角的修改
  5. 关闭目标日志选项,单击确定

删除审计资源

如果您需要清理并删除日志审计服务相关的所有日志资源(如Logstore、仪表盘、告警等),可参见以下操作。

  1. 登录日志服务控制台
  2. 日志应用区域,单击日志审计服务
  3. 在左侧导航栏中,选择云产品接入 > 全局配置
  4. 全局配置页面,单击右上角的删除审计资源
  5. 根据页面提示,完成删除。

常见问题及错误排查

  • 如何查看接入状态?

    云产品接入 > 接入状态中查看接入状态。

  • 显示账号没有权限或密钥错误,怎么处理?

    请检查账号权限是否配置正确。如果是同一账号下的采集,请参见首次配置,如果是跨账号采集,请参见操作步骤。例如:账号中的sls-audit-service-monitor角色没有被授予系统策略下的ReadOnlyAccess策略。

  • 显示账号没有开启特定服务,怎么处理?

    一般是由于某个云产品没有开启特定服务。更多信息,请参见云产品覆盖及相关资源。例如:已开通云安全中心,但未开通日志分析功能。