日志审计服务支持采集多账号下的VPC流日志,您可以通过采集的VPC流日志,实时监控对应的VPC实例。

背景信息

配置多账号采集后,您在中心账号下的日志审计服务中开启VPC流日志的采集,日志审计服务会将当前中心账号以及其他成员账号(阿里云主账号)下满足采集策略的VPC实例的流日志采集到中心账号下各个与VPC实例处于相同地域的日志服务Project (名称为slsaudit-region-$uid-$region)中。

日志审计服务还支持中心化存储。开启中心化存储后,日志审计服务会将存储在各个地域Logstore(vpc_log)中的VPC流日志同步到中心Project(名称为slsaudit-center-$uid-$center_region)下名为vpc_log的Logstore中,帮助您实现中心化查询、分析、告警、可视化、二次开发等操作。中心化存储依赖日志服务的数据加工功能。

步骤一:配置多账号采集

日志审计服务支持跨账号采集云产品日志,您可以通过资源目录管理模式和自定义鉴权模式完成多账号配置。此处以资源目录管理模式为例,介绍多账号的配置。

在使用资源目录前,需先创建或邀请成员。具体操作,请参见创建成员邀请阿里云账号加入资源目录

  1. 登录日志服务控制台
  2. 日志应用区域的审计与安全页签下,单击日志审计服务
  3. 在左侧导航栏中,选择多账号配置 > 全局配置
  4. 资源目录管理模式页签中,单击修改
  5. 添加账号面板中,选择目标账号,然后单击确认

    资源目录管理模式支持全员方式和自定义方式。更多信息,请参见资源目录管理模式(推荐)

    日志审计服务

步骤二:开启采集

  1. 在左侧导航栏中,选择云产品接入 > 全局配置
  2. 全局配置页面,单击修改
  3. 打开VPC流日志对应的采集开关。
    采集VPC日志
  4. 单击确定

步骤三:配置采集策略

日志审计服务支持实例粒度的采集控制,您可以通过采集策略指定只采集目标实例的流日志。例如您只采集标签变量envtest的VPC实例的流日志,可设置采集策略为accept tag.env == "test"drop "*"(默认策略--丢弃)。具体步骤如下:

  1. 在左侧导航栏中,选择云产品接入 > 全局配置
  2. 全局配置页面,单击修改
  3. 单击VPC流日志对应的采集策略
  4. 配置采集策略。
    关于采集策略的更多信息,请参见采集策略采集策略
  5. 单击确定

步骤四:查询和分析日志

日志审计服务提供统一的日志查询入口。开启中心化采集后,VPC流日志将被统一采集到中心Project下的专属Logstore中。

  1. 在左侧导航栏中,选择审计查询 > 中心化 > VPC
  2. 输入查询和分析语句,执行查询和分析操作。

    查询和分析语句由查询语句和分析语句构成,格式为查询语句|分析语句,查询分析语句语法请参见查询语法SQL分析语法

    • 例如通过account-id字段,确定该VPC流日志所属的阿里云账号;通过region字段和vpc-id字段确定该流日志所属的VPC实例。查看日志
    • 例如执行如下的查询和分析语句,统计不同阿里云账号在不同地域的不同VPC实例的流日志条数。
      *| SELECT count(*) AS "日志条数", region, "account-id", "vpc-id" FROM log GROUP BY "account-id","region","vpc-id"
      查询日志

步骤五:查看报表

在日志审计服务中,开通VPC流日志的采集后,自动生成VPC流日志概览、VPC流日志Reject中心和VPC流日志Traffic中心三个仪表盘,帮助您更好地分析日志。

  1. 在左侧导航栏中,选择审计报表 > 中心化 > VPC
  2. 查看仪表盘。
    日志审计服务