当您需要将资源的配置变更历史和不合规事件投递到日志服务SLS的指定日志库时,需要设置日志项目(Project)和日志库(Logstore)。资源数据投递到指定日志库后,您可以查询和分析日志。

前提条件

请确保您已开通日志服务SLS。当您首次使用日志服务时,需要登录日志服务控制台,根据页面提示开通日志服务。更多信息,请参见什么是日志服务

普通账号

普通账号可以设置将自己的资源数据投递到日志服务SLS的指定日志库中。

  1. 登录配置审计控制台
  2. 在左侧导航栏,选择投递服务 > 投递到日志服务SLS
  3. 投递到日志服务SLS页面,打开设置日志服务SLS开关。
  4. 设置资源投递数据的相关参数。
    资源投递数据的相关参数如下表所示。
    参数 描述
    选择接收内容
    选择日志服务SLS接收的资源投递内容。取值:
    • 配置变更历史:当资源配置变更时,配置审计向日志服务SLS投递资源配置变更历史。
    • 资源不合规事件:当资源的审计结果不合规时,配置审计向日志服务SLS投递资源不合规事件。
    日志项目地域 日志项目所在地域。
    日志项目名称 日志服务SLS中日志项目的名称。同一账号同一地域下,日志项目名称不能重复。
    • 当您选中本账号中新建日志项目时,通过配置审计控制台新建日志项目,输入日志项目名称。
    • 当您选中选择本账号中已有的日志项目时,在日志服务SLS中选择已有日志项目名称。
    日志库名称 日志服务SLS中日志库的名称。同一账号同一地域下,日志库名称不能重复。
    • 当您选中本账号中新建日志项目时,通过配置审计控制台新建日志库,输入日志库名称。
    • 当您选中选择本账号中已有的日志项目时,在日志服务SLS中选择已有日志库名称。
    超大文件接收地址
    配置审计向日志服务SLS投递的超大文件接收地址。
    • 如果您设置了该参数,当配置审计向日志服务SLS投递的文件超过1 MB时,该文件自动转存到对象存储OSS的目标存储空间。
    • 如果您未设置该参数,当配置审计向日志服务SLS投递的文件超过1 MB时,超过部分自动丢弃。
    说明 超大文件接收地址中的地域账号根据接收内容和接收地址区域设置的参数自动生成,您只需选择目标存储空间。
  5. 单击确定

企业管理账号

企业管理账号可以设置将自己和资源目录中所有成员账号的资源投递数据,统一投递到企业管理账号或指定成员账号的日志库中。成员账号无权设置资源数据投递,只能按照企业管理账号的设置进行投递。

  1. 登录配置审计控制台
  2. 在左侧导航栏,选择投递服务 > 投递到日志服务SLS
  3. 投递到日志服务SLS页面,打开设置日志服务SLS开关。
  4. 设置资源事件投递的相关参数。
    您可以在当前企业管理账号中新建日志项目,也可以选择当前企业管理账号或其他成员账号中已有日志项目。该日志项目用于接收企业管理账号和所有成员账号的资源投递数据。
    • 当您需要将企业管理账号和所有成员账号的资源日志统一投递到当前企业管理账号的指定日志项目时,需要选择本账号中新建日志项目选择本账号中已有的日志项目。资源投递数据的相关参数如下表所示。
      参数 描述
      选择接收内容
      选择日志服务SLS接收的资源投递内容。取值:
      • 配置变更历史:当资源配置变更时,配置审计向日志服务SLS投递资源配置变更历史。
      • 资源不合规事件:当资源的审计结果不合规时,配置审计向日志服务SLS投递资源不合规事件。
      日志项目地域 日志项目所在地域。
      日志项目名称 日志服务SLS中日志项目的名称。同一账号同一地域下,日志项目名称不能重复。
      • 当您选中本账号中新建日志项目时,通过配置审计控制台新建日志项目,输入日志项目名称。
      • 当您选中选择本账号中已有的日志项目时,在日志服务SLS中选择已有日志项目名称。
      日志库名称 日志服务SLS中日志库的名称。同一账号同一地域下,日志库名称不能重复。
      • 当您选中本账号中新建日志项目时,通过配置审计控制台新建日志库,输入日志库名称。
      • 当您选中选择本账号中已有的日志项目时,在日志服务SLS中选择已有日志库名称。
      超大文件接收地址
      配置审计向日志服务SLS投递的超大文件接收地址。
      • 如果您设置了该参数,当配置审计向日志服务SLS投递的文件超过1 MB时,该文件自动转存到对象存储OSS的目标存储空间。
      • 如果您未设置该参数,当配置审计向日志服务SLS投递的文件超过1 MB时,超过部分自动丢弃。
      说明 超大文件接收地址中的地域账号根据接收内容和接收地址区域设置的参数自动生成,您只需选择目标存储空间。
    • 当您需要将企业管理账号和所有成员账号的资源日志统一投递到指定成员账号的指定日志项目时,需要选择选择其他账号已有的日志项目(仅支持企业管理账号)。设置日志项目相关参数之前,请您确保该成员账号中已有可用日志项目。资源投递数据的相关参数如下表所示。
      参数 描述
      选择接收内容
      选择日志服务SLS接收的资源投递内容。取值:
      • 配置变更历史:当资源配置变更时,配置审计向日志服务SLS投递资源配置变更历史。
      • 资源不合规事件:当资源的审计结果不合规时,配置审计向日志服务SLS投递资源不合规事件。
      目标账号中日志库的ARN 目标成员账号中日志库的ARN,包括:地域成员账号日志项目名称日志库名称。您可以直接从下拉列表中选择目标成员账号,以及该成员账号的日志项目名称、日志库名称和地域。
      目标账号中需扮演角色的ARN 目标成员账号需要扮演角色的ARN,包括:成员账号和配置审计服务关联角色。您可以直接从下拉列表中选择目标成员账号,配置审计服务关联角色保持默认。
      超大文件接收地址
      配置审计向日志服务SLS投递的超大文件接收地址。
      • 如果您设置了该参数,当配置审计向日志服务SLS投递的文件超过1 MB时,该文件自动转存到对象存储OSS的目标存储空间。
      • 如果您未设置该参数,当配置审计向日志服务SLS投递的文件超过1 MB时,超过部分自动丢弃。
      说明 超大文件接收地址中的地域账号根据接收内容和接收地址区域设置的参数自动生成,您只需选择目标存储空间。
  5. 单击确定
  6. 该修改将自动在所有成员账号中生效,请确认修改对话框,单击确定

后续步骤

资源日志投递到指定日志库后,您可以在该日志库中查询和分析指定时间段内所有的资源日志。具体操作,请参见查询和分析日志

关于JSON格式文件的内容示例,请参见资源配置变更历史内容示例资源不合规事件内容示例