本文介绍日志应用相关的使用限制。

日志审计服务

  • 存储方式与地域限制
    注意 使用日志审计服务进行日志区域化存储或中心化存储前,请合理评估存储地域是否满足相关法律法规和安全监管的要求。
    • 中心化存储
      从各个阿里云账号、各个地域采集到的日志,会存储到中心账号下的一个中心Project中,目前中心化存储可供选择的地域如下所示。
      说明 当您切换中心账号所在地域时,日志服务为您创建一个新的中心Project,原Project不会被删除。
      • 中国:华北1(青岛)、华北2(北京)、华北5(呼和浩特)、华东1(杭州)、华东2(上海)、华南1(深圳)、中国(香港)
      • 海外:新加坡、日本(东京)、德国(法兰克福)、印度尼西亚(雅加达)
    • 区域化存储

      针对SLB、ALB、OSS、PolarDB-X 1.0访问日志和VPC流日志,日志审计服务支持将各个主账号采集到的日志存储到中心主账号下的各个与SLB、ALB、OSS、PolarDB-X 1.0和VPC实例处于相同地域的日志服务Project中(例如:杭州的OSS访问日志,存储到杭州的日志服务Project中)。

    • 同步到中心

      针对SLB、ALB、OSS、PolarDB-X 1.0和VPC的区域化存储,支持将各个地域的Logstore同步到一个中心化的Logstore中,以便做中心化查询、分析、告警、可视化、二次开发等。

      同步机制依赖日志服务数据加工。

  • 资源限制
    • 中心主账号下对应的中心化Project只有一个,名为slsaudit-center-中心化主账号ID-配置的地域,例如:slsaudit-center-1234567890-cn-beijing。无法通过控制台删除中心化Project,只能通过命令行、API删除。
    • 针对SLB、ALB、OSS、PolarDB-X 1.0和VPC,可以有多个区域化Project,名为slsaudit-region-中心化主账号ID-各个采集的地域,例如:slsaudit-region-1234567890-cn-beijing。无法通过控制台删除区域化Project,只能通过命令行、API删除。
    • 配置云产品日志采集后,日志审计服务会创建专属Logstore,具备日志服务Logstore所有的功能,除以下操作限制。
      • 保护数据不被篡改,您无法自行写入数据,修改或删除索引。
      • 只能通过日志审计服务的配置页面或接口修改存储周期、删除Logstore。
      • 针对SLB、ALB、OSS、PolarDB-X 1.0和VPC,如果开启了同步到中心功能,在对应的区域化Project中,会生成数据加工作业。
        • 数据加工作业名为Internal Job: SLS Audit Service Data Sync for OSS Access、Internal Job: SLS Audit Service Data Sync for SLB、Internal Job: SLS Audit Service Data Sync for ALB、Internal Job: SLS Audit Service Data Sync for DRDS、Internal Job: SLS Audit Service Data Sync for VPC。
        • 您只能通过日志审计服务的配置页面或接口关闭该数据加工作业。
        • 开启了同步到中心功能的区域化Logstore会同步为专属的Logstore,您无法进行任何操作,如果需要进行查询等操作时,可以直接在中心化Logstore中操作。
  • 权限限制
    通过日志审计服务采集Kubernetes日志(Kubernetes审计日志、Kubernetes事件中心、Ingress访问日志)时,您需要了解如下权限限制。
    • 日志审计服务仅支持采集中心账号下的Kubernetes日志,不支持采集多账号配置中的其他阿里云账号下的Kubernetes日志。
    • 日志审计服务采集Kubernetes日志依赖数据加工功能。如果您通过日志审计服务采集Kubernetes日志,则中心账号需完成如下授权。
      说明项 中心账号未升级 中心账号已升级
      当前中心账号角色 sls-audit-service-monitor AliyunServiceRoleForSLSAudit
      额外授权 sls-audit-service-monitor角色需具备AliyunLogAuditServiceMonitorAccess权限和如下自定义权限(AliyunLogAuditServiceK8sAccess)。
      {
          "Version": "1",
          "Statement": [
              {
                  "Action": "log:*",
                  "Resource": [
                      "acs:log:*:*:project/k8s-log-*"
                  ],
                  "Effect": "Allow"
              }
          ]
      }
      只需具备AliyunServiceRoleForSLSAudit角色的无需额外授权。
  • 存储天数联动说明
    • 日志审计服务中的RDS MySQL审计日志、慢日志和错误日志都存储在同一个Logstore(rds_log)中,如果同时开启采集且设置的存储天数不同,则日志存储天数为开通者的中心化存储天数的最大值。
    • 日志审计服务中的PolarDB MySQL审计日志、慢日志和错误日志都存储在同一个Logstore(polardb_log)中,如果同时开启采集且设置的存储天数不同,则日志存储天数为开通者的中心化存储天数的最大值。
    • 日志审计服务中的云防火墙的互联网边界防火墙流量日志、VPC边界防火墙流量日志都存储在同一个Logstore(cloudfirewall_log)中,如果同时开启采集且设置的存储天数不同,则日志存储天数为开通者的中心化存储天数的最大值。
    • 日志审计服务中的DDoS高防(新BGP)访问日志、DDoS高防(国际)访问日志、DDoS原生防护访问日志都存储在同一个Logstore(ddos_log)中,如果同时开启采集且设置的存储天数不同,则日志存储天数为开通者的中心化存储天数的最大值。
    • 日志审计服务中的K8s审计日志、K8s事件中心都存储在同一个Logstore(k8s_log)中,如果同时开启采集且存储天数不同,则日志存储天数为开通者的中心化存储天数的最大值。
    说明 针对上述存储天数存在联动的日志类型,如果同时开启日志采集及智能冷热分层存储功能,则热存储天数为开通者的热存储天数的最大值;如果开启了日志采集但没有同时开启智能冷热分层存储功能,则默认关闭智能冷热分层存储功能。

    例如您开启了RDS MySQL审计日志和错误日志的采集,如果同时开启了两者的冷热分层存储功能,则热存储天数为二者中的最大值;如果您只开启RDS MySQL审计日志的冷热分层存储功能,没有开启RDS MySQL错误日志的冷热分层存储功能,则默认关闭其所在Logstore(rds_log)的冷热分层存储功能。

  • 冷热分层存储
    日志审计服务的专属Logstore支持冷热分层存储功能。相对热存储而言,冷存储成本更低,其数据的查询与分析性能有所降低,其余功能(例如告警、可视化、加工、投递等)不受影响。更多信息,请参见智能冷热分层存储
    说明 目前已支持智能冷热分层存储的审计中心区域为华北1(青岛)、华北2(北京)、华北5(呼和浩特)、华东1(杭州)、华东2(上海)、华南1(深圳)。

    您可以在日志审计服务的全局配置页面开启冷热分层存储,其中热存储时间必须大于等于30天且不能超过当前存储天数。例如当前中心化存储时间为180天,开启30天热存储,则日志将在保存30天之后转为冷存储。