本文介绍日志审计服务在采集到日志后的审计操作。

前提条件

  • 已完成日志审计配置,详情请参见配置日志采集
  • 已有对应权限的账号,权限配置请参见配置权限助手
    • 如果您需要查询日志、查看报表,则当前登录的账号需要对日志审计服务以及Project下的资源具有读权限。
    • 如果您需要创建报表、创建告警、二次对接,则当前登录的账号需要对日志审计服务以及Project下的资源具有读写权限。

使用审计报表

  1. 登录日志服务控制台
  2. 日志应用区域,单击日志审计服务中的进入应用
  3. 在左侧导航栏中,单击审计报表
  4. 单击目标报表,进入审计中心。
    您可以在审计中心查看数据报表,仪表盘操作请参见仪表盘
    说明 对于OSS、SLB和DRDS,如果没有在全局配置中开启同步到中心功能,则只能在区域化页签中查看各个地域下的报表。如果开启了同步到中心功能,则可在中心化页签中查看除华北1(青岛)、华南2(河源)外的报表,地域限制请参见使用限制

使用审计查询

  1. 登录日志服务控制台
  2. 日志应用区域,单击日志审计服务中的进入应用
  3. 在左侧导航栏中,单击审计查询
  4. 单击目标云产品,进入查询分析页面。
    具体的查询、分析操作请参见查询与分析
    说明 对于OSS、SLB和DRDS,如果没有在全局配置中开启同步到中心功能,则只能在区域化页签中查看各个地域下的日志。如果开启了同步到中心功能,则可在中心化页签中查看除华北1(青岛)、华南2(河源)外的日志,地域限制请参见使用限制

创建审计报警

  1. 登录日志服务控制台
  2. 日志应用区域,单击日志审计服务中的进入应用
  3. 创建告警。
    • 基于日志创建告警
      1. 在左侧导航栏中,单击审计查询
      2. 单击目标云产品,进入查询分析页面。
      3. 单击另存为告警创建告警,详情请参见配置告警
    • 基于报表创建告警
      1. 在左侧导航栏中,单击审计报表
      2. 单击目标报表,进入仪表盘页面。
      3. 选择目标图表,单击日志审计-009 > 新建告警创建告警,详情请参见配置告警

操作Logstore

  1. 登录日志服务控制台
  2. 日志应用区域,单击日志审计服务中的进入应用
  3. 单击审计配置 > 云产品接入 > 全局配置
  4. 单击Project名称,进入日志库列表页面。

后续步骤

完成日志审计后,可通过数据消费、数据投递功能将日志与第三方系统进行对接。
  • 数据投递

    使用数据投递与第三方系统对接,包括OSS、MaxCompute、AnalyticDB for MySQL、TSDB、Splunk或其他SIEM,详情请参见数据投递

  • 数据消费

    使用第三方流计算系统实时消费日志,包括Storm、Flume、ARMS、Blink、Logstash、Spark streaming、Cloud Monitor或消费组等,详情请参见实时消费