投递资源日志到日志服务SLS - 配置审计

当您需要将资源的配置变更历史以日志形式投递到日志服务SLS的指定日志库时，需要设置日志项目（Project）和日志库（Logstore）。资源日志投递到指定日志库后，您可以查询和分析日志。

前提条件

请确保您已开通日志服务SLS。当您首次使用日志服务时，需要登录日志服务控制台，根据页面提示开通日志服务。更多信息，请参见什么是日志服务。

设置用于接收日志的日志项目和日志库。

日志项目和日志库的相关参数如下表所示。


参数	描述
日志项目地域	日志项目所在地域。
日志项目名称	日志服务SLS中日志项目的名称。同一账号同一地域下，日志项目名称不能重复。当您选中本账号中新建日志项目时，通过配置审计控制台新建日志项目，输入日志项目名称。当您选中选择本账号中已有的日志项目时，在日志服务SLS中选择已有日志项目名称。
日志库名称	日志服务SLS中日志库的名称。同一账号同一地域下，日志库名称不能重复。当您选中本账号中新建日志项目时，通过配置审计控制台新建日志库，输入日志库名称。当您选中选择本账号中已有的日志项目时，在日志服务SLS中选择已有日志库名称。

企业管理账号可以设置将自己和资源目录中所有成员账号的资源配置变更日志，统一投递到企业管理账号或指定成员账号的日志库中。成员账号无权设置资源日志投递，只能按照企业管理账号的设置进行投递。

设置用于接收日志的日志项目和日志库。

您可以在当前企业管理账号中新建日志项目，也可以选择当前企业管理账号或其他成员账号中已有日志项目。该日志项目用于接收企业管理账号和所有成员账号的资源配置变更日志。

当您需要将企业管理账号和所有成员账号的资源日志统一投递到当前企业管理账号的指定日志项目时，需要选择本账号中新建日志项目或选择本账号中已有的日志项目。日志项目和日志库的相关参数如下表所示。


参数	描述
日志项目地域	日志项目所在地域。
日志项目名称	日志服务SLS中日志项目的名称。同一账号同一地域下，日志项目名称不能重复。当您选中本账号中新建日志项目时，通过配置审计控制台新建日志项目，输入日志项目名称。当您选中选择本账号中已有的日志项目时，在日志服务SLS中选择已有日志项目名称。
日志库名称	日志服务SLS中日志库的名称。同一账号同一地域下，日志库名称不能重复。当您选中本账号中新建日志项目时，通过配置审计控制台新建日志库，输入日志库名称。当您选中选择本账号中已有的日志项目时，在日志服务SLS中选择已有日志库名称。

当您需要将企业管理账号和所有成员账号的资源日志统一投递到指定成员账号的指定日志项目时，需要选择选择其他账号已有的日志项目（仅支持企业管理账号）。设置日志项目相关参数之前，请您确保该成员账号中已有可用日志项目。目标成员账号中日志库ARN和扮演角色ARN的相关参数如下表所示。


参数	描述
目标账号中日志库的ARN	目标成员账号中日志库的ARN，例如：`acs:log:cn-shanghai:178589740730**:project/project1/logstore/logstore1`。 ARN格式为`acs:log:{regionId}:{AccountID}:project/{projectName}/logstore/{logstoreName}`，各参数含义如下： `{regionId}`：日志项目所在地域ID，例如：cn-shanghai。 `{AccountID}`：成员账号ID，例如：178589740730**。 `{projectName}`：日志项目名称，例如：project1。 `{logstoreName}`：日志库名称，例如：logstore1。
目标账号中需扮演角色的ARN	目标成员账号需要扮演角色的ARN，例如：`acs:ram::178589740730**:role/aliyunserviceroleforconfig`。 ARN格式为`acs:ram::{AccountID}:role/aliyunserviceroleforconfig`，各参数含义如下： `{AccountID}`：成员账号ID，例如：178589740730**。 `aliyunserviceroleforconfig`：配置审计服务关联角色。

资源日志投递到指定日志库后，您可以在该日志库中查询和分析指定时间段内所有的资源日志。具体操作，请参见查询和分析日志。

关于JSON格式文件的代码示例，请参见投递资源日志到日志服务SLS的代码示例。