当您需要将资源的配置变更历史、不合规事件、合规快照和资源定时快照投递到日志服务SLS的指定日志库时,需要设置日志项目(Project)和日志库(Logstore)。资源数据投递到指定日志库后,您可以查询和分析日志。
前提条件
背景信息
如果您不想日志服务SLS产生费用,则可以在日志服务SLS控制台删除日志项目。删除日志项目后,配置审计中的投递任务失效,资源数据将不再投递。具体操作,请参见删除项目Project。
操作步骤
登录配置审计控制台。
(可选)在左上角选择目标账号组。
仅资源目录下的管理账号需要执行该操作。单个阿里云账号不涉及。
在左侧导航栏,单击。
在投递页面,单击左上角的新建投递。
在新建投递页面,先输入投递名称,再选择渠道类型为日志服务SLS,然后设置日志服务SLS的相关参数。
资源投递数据的相关参数如下表所示。
配置变更历史:当资源配置变更时,配置审计向日志服务SLS投递资源配置变更历史。
资源不合规事件:当资源的审计结果不合规时,配置审计向日志服务SLS投递资源不合规事件。
资源定时快照:默认每天00:00:00和12:00:00,配置审计定时向日志服务SLS投递资源定时快照。
合规快照:默认每天00:00:00和12:00:00,配置审计定时向日志服务SLS投递合规快照。
本账号中新建日志项目:通过配置审计控制台选择日志项目归属地域,并新建日志项目和日志库。同一账号同一地域下,日志项目名称和日志库名称都不能重复。
说明通过配置审计新建的日志库,不包含任何预置的索引。如果您需要分析投递数据,则需要在日志服务控制台为该日志库开启索引。具体操作,请参见创建索引。
选择本账号中已有的日志项目:在日志服务SLS中选择已有地域、日志项目和日志库。
说明请确保您选择的日志库为空或日志库已有数据与待投递数据保持一致,否则数据投递到日志库后将无法查询分析。
选择其他账号已有的日志项目(仅支持管理账号或委派管理账号):目标账号中日志库的ARN,包括:地域、成员、日志项目名称和日志库名称。
您可以设置将自己和资源目录中所有成员的资源数据,统一投递到指定成员的日志库中。成员无权设置资源数据投递,只能按照管理账号的设置进行投递。
说明如果管理账号设置了配置审计的委派管理员账号,该账号可代替管理账号设置资源数据投递。关于如何添加配置审计的委派管理员账号,请参见添加委派管理员账号。
如果您设置了该参数,当配置审计向日志服务SLS投递的文件超过1 MB时,该文件自动转存到对象存储OSS的目标存储空间。
如果您未设置该参数,当配置审计向日志服务SLS投递的文件超过1 MB时,直接丢弃,不进行投递。
参数
描述
接收内容
选择日志服务SLS接收的资源投递内容。取值:
说明如果您设置了每日投递时间,则按照该时间投递资源数据。
日志项目来源
日志服务SLS中日志项目的来源。取值:
指定资源类型事件
待投递资源数据的资源类型。关于配置审计支持的资源类型,请参见配置审计支持的资源类型和资源关系。
每日投递时间
资源定时快照和/或合规快照的每日投递时间。
说明如果您不设置该参数,则默认每天00:00:00和12:00:00投递资源数据。
大文件接收地址
配置审计向日志服务SLS投递的大文件接收地址。
单击确认。
(可选)在确认操作对话框,单击确定。
仅资源目录下的管理账号需要执行该操作。单个阿里云账号不涉及。
说明新建的投递仅在当前账号组内的所有成员中生效。
后续步骤
查看资源数据的投递结果,并对其进行查询和分析。
在投递页面,单击新建的投递ID。
在目标投递的扩展信息区域,单击日志库名称,系统自动跳转到日志服务SLS控制台的目标日志库页面。
在错误对话框,单击关闭。
说明通过配置审计控制台新建的日志库默认未开启索引,会报错。
开启日志库的索引。
具体操作,请参见创建索引。
查询并分析日志库中的日志。
具体操作,请参见查询和分析日志。
说明关于JSON格式文件的内容示例,请参见资源配置变更历史内容示例、资源不合规事件内容示例和资源定时快照内容示例。