日志审计服务支持快速开启日志采集功能,本文介绍开启日志采集功能以及相关操作的步骤。

前提条件

  • 已注册阿里云账号。

    建议使用阿里云RAM用户,该RAM用户需具备RAM读权限(例如已被授权AliyunRAMReadOnlyAccess策略),且对日志服务有读写权限(例如被授权AliyunLogFullAccess策略)。

  • 待采集日志的云产品已开启相应的服务。更多信息,请参见云产品覆盖及相关资源

首次配置

重要
  • 执行该操作的账号具备AliyunRAMFullAccess权限。
  • 本操作只需执行一次。
  1. 登录日志服务控制台
  2. 日志应用区域的审计与安全页签下,单击日志审计服务
  3. 根据页面提示完成授权。
    完成授权后,日志审计服务将使用服务关联角色AliyunServiceRoleForSLSAudit进行云产品的日志采集。更多信息,请参见管理服务关联角色AliyunServiceRoleForSLSAudit

开启日志采集功能

  1. 在日志审计服务的左侧导航栏中,选择云产品接入 > 全局配置
  2. 中心项目Project所在区域下拉列表中,选择日志中心化存储的目标地域。
    • 中国:华北1(青岛)、华北2(北京)、华北5(呼和浩特)、华东1(杭州)、华东2(上海)、华南1(深圳)、中国(香港)
    • 海外:新加坡、日本(东京)、德国(法兰克福)、印度尼西亚(雅加达)
  3. 在云产品列表中,选择需开启日志采集功能的云产品,并配置存储时间。
    如果是SLB 7层访问日志、ALB 7层访问日志、OSS访问日志、PolarDB-X 1.0审计日志、VPC流日志和内网DNS日志,还可以选择同步到中心。开启同步到中心后,区域化Project将作为中转,不需要存储很长时间,控制台会自动调整成推荐的时间。
  4. 单击保存
    配置完成后,等待2分钟左右,可在云产品接入 > 接入状态页面中查看日志接入状态。如果出现异常,请根据页面提示信息进行调整。更多信息,请参见开启日志采集功能

相关操作

开启加密

日志审计服务支持通过日志服务自带的服务密钥对当前已开启采集的云产品专属Logstore进行加密。
说明 目前,华北5(呼和浩特)和中国(香港)地域下的中心项目Project支持开启加密功能。
  1. 在日志审计服务的左侧导航栏中,选择云产品接入 > 全局配置
  2. 全局配置页面,单击右上角的修改
  3. 打开开启加密开关,选择对应的加密算法。
    重要 选择加密算法后,不支持修改加密算法类型。请谨慎选择。
  4. 单击确定

停止采集日志

如果您不再需要采集云产品日志但想要暂时保留已采集的日志(日志将在超出存储天数后被删除),可参见以下步骤。
重要 关闭采集后,只是不再采集增量日志。如果您需要修改日志存储天数,请在日志开启采集的情况下修改,否则修改不生效。
  1. 在日志审计服务的左侧导航栏中,选择云产品接入 > 全局配置
  2. 全局配置页面,单击右上角的修改
  3. 关闭目标日志选项,单击确定

删除审计资源

如果您需要清理并删除日志审计服务相关的所有日志服务资源(如Project、Logstore、仪表盘、告警等),可参见以下操作。

  1. 在日志审计服务的左侧导航栏中,选择云产品接入 > 全局配置
  2. 全局配置页面,单击右上角的删除审计资源
  3. 删除日志审计服务所有资源对话框中,单击一键关闭所有云产品日志采集
  4. 确认对话框中,单击确认
  5. 删除日志审计服务所有资源对话框中,复制命令。
    如果您要删除所有资源,请复制所有命令;如果您要删除部分资源,请根据需求复制命令。命令格式说明如下:
    重要
    • 请按照顺序执行删除命令,先删除区域Project,然后删除中心Project。
    • 在删除Project前,请等待1~2分钟,确保所有云产品采集均已停止。
    • 删除区域Project的命令示例
      aliyunlog log delete_project --project_name=slsaudit-region-12****34-cn-huhehaote --region-endpoint=cn-huhehaote.log.aliyuncs.com
    • 删除中心Project的命令示例
      aliyunlog log delete_project --project_name=slsaudit-center-12****34-cn-huhehaote --region-endpoint=cn-huhehaote.log.aliyuncs.com

    其中,12****34为阿里云账号ID,cn-huhehaote为Project所在地域。region-endpoint为日志服务Project的访问域名,更多信息,请参见服务入口

  6. 在页面顶部导航栏中,单击云命令行图标。
  7. cloudshell对话框中,执行您所复制的命令。
    系统会分条执行,逐步删除审计资源。