本文介绍日志应用相关的使用限制。
日志审计服务
- 存储方式与地域限制重要 使用日志审计服务进行日志区域化存储或中心化存储前,请合理评估存储地域是否满足相关法律法规和安全监管的要求。
- 中心化存储从各个阿里云账号、各个地域采集到的日志,会存储到中心账号下的一个中心Project中,目前中心化存储可供选择的地域如下所示。说明 当您切换中心账号所在地域时,日志服务为您创建一个新的中心Project,原Project不会被删除。
- 中国:华北1(青岛)、华北2(北京)、华北5(呼和浩特)、华东1(杭州)、华东2(上海)、华南1(深圳)、中国(香港)
- 海外:新加坡、日本(东京)、德国(法兰克福)、印度尼西亚(雅加达)
- 区域化存储
针对SLB、ALB、OSS、PolarDB-X 1.0、VPC和DNS,日志审计服务支持将各个主账号采集到的日志存储到中心主账号下的各个与SLB、ALB、OSS、PolarDB-X 1.0和VPC实例处于相同地域的日志服务Project中(例如:杭州的OSS访问日志,存储到杭州的日志服务Project中)。
- 同步到中心
针对SLB、ALB、OSS、PolarDB-X 1.0、VPC和DNS的区域化存储,支持将各个地域的Logstore同步到一个中心化的Logstore中,以便做中心化查询、分析、告警、可视化、二次开发等。
同步机制依赖日志服务数据加工。
- 中心化存储
- 资源限制
- 中心主账号下对应的中心化Project只有一个,名为slsaudit-center-中心化主账号ID-配置的地域,例如:slsaudit-center-117938634953****-cn-beijing。无法通过控制台删除中心化Project,只能通过命令行、API删除。
- 针对SLB、ALB、OSS、PolarDB-X 1.0、VPC和DNS,可以有多个区域化Project,名为slsaudit-region-中心化主账号ID-各个采集的地域,例如:slsaudit-region-117938634953****-cn-beijing。无法通过控制台删除区域化Project,只能通过命令行、API删除。
- 配置云产品日志采集后,日志审计服务会创建专属Logstore,具备日志服务Logstore所有的功能,除以下操作限制。
- 保护数据不被篡改,您无法自行写入数据,修改或删除索引。
- 只能通过日志审计服务的配置页面或接口修改存储周期、删除Logstore。
- 针对SLB、ALB、OSS、PolarDB-X 1.0、VPC和DNS,如果开启了同步到中心功能,在对应的区域化Project中,会生成数据加工任务。
- 数据加工任务名为Internal Job: SLS Audit Service Data Sync for OSS Access、Internal Job: SLS Audit Service Data Sync for SLB、Internal Job: SLS Audit Service Data Sync for ALB、Internal Job: SLS Audit Service Data Sync for DRDS、Internal Job: SLS Audit Service Data Sync for VPC、Internal Job: SLS Audit Service Data Sync for DNS。
- 您只能通过日志审计服务的配置页面或接口关闭该数据加工任务。
- 开启了同步到中心功能的区域化Logstore会同步为专属的Logstore,您无法进行任何操作,如果需要进行查询等操作时,可以直接在中心化Logstore中操作。
- 权限限制通过日志审计服务采集Kubernetes日志(Kubernetes审计日志、Kubernetes事件中心、Ingress访问日志)时,您需要了解如下权限限制。
- 日志审计服务仅支持采集中心账号下的Kubernetes日志,不支持采集多账号配置中的其他阿里云账号下的Kubernetes日志。
- 日志审计服务采集Kubernetes日志依赖数据加工功能。如果您通过日志审计服务采集Kubernetes日志,则中心账号需完成如下授权。
说明项 中心账号未升级 中心账号已升级 当前中心账号角色 sls-audit-service-monitor AliyunServiceRoleForSLSAudit 额外授权 sls-audit-service-monitor角色需具备AliyunLogAuditServiceMonitorAccess权限和如下自定义权限(AliyunLogAuditServiceK8sAccess)。 { "Version": "1", "Statement": [ { "Action": "log:*", "Resource": [ "acs:log:*:*:project/k8s-log-*" ], "Effect": "Allow" } ] }只需具备AliyunServiceRoleForSLSAudit角色权限,无需额外授权。
- 存储天数联动说明
- 日志审计服务中的RDS审计日志、慢日志和错误日志都存储在同一个Logstore(rds_log)中,如果同时开启采集且设置的存储天数不同,则日志存储天数为开通者的中心化存储天数的最大值。
- 日志审计服务中的PolarDB MySQL审计日志、慢日志和错误日志都存储在同一个Logstore(polardb_log)中,如果同时开启采集且设置的存储天数不同,则日志存储天数为开通者的中心化存储天数的最大值。
- 日志审计服务中的云防火墙的互联网边界防火墙流量日志、VPC边界防火墙流量日志都存储在同一个Logstore(cloudfirewall_log)中,如果同时开启采集且设置的存储天数不同,则日志存储天数为开通者的中心化存储天数的最大值。
- 日志审计服务中的DDoS高防(新BGP)访问日志、DDoS高防(国际)访问日志、DDoS原生防护访问日志都存储在同一个Logstore(ddos_log)中,如果同时开启采集且设置的存储天数不同,则日志存储天数为开通者的中心化存储天数的最大值。
- 日志审计服务中的K8s审计日志、K8s事件中心都存储在同一个Logstore(k8s_log)中,如果同时开启采集且存储天数不同,则日志存储天数为开通者的中心化存储天数的最大值。
- 日志审计服务中的IDaaS应用身份服务管理操作日志、应用身份服务用户行为日志都存储在同一个Logstore(idaas_log)中,如果同时开启采集且存储天数不同,则日志存储天数为开通者的中心化存储天数的最大值。
- 日志审计服务中的配置审计变更日志、配置审计资源不合规日志都存储在同一个Logstore(cloudconfig_log)中,如果同时开启采集且存储天数不同,则日志存储天数为开通者的中心化存储天数的最大值。
说明 针对上述存储天数存在联动的日志类型,如果同时开启日志采集及智能冷热分层存储功能,则热存储天数为开通者的热存储天数的最大值;如果开启了日志采集但没有同时开启智能冷热分层存储功能,则默认关闭智能冷热分层存储功能。例如您开启了RDS审计日志和错误日志的采集,如果同时开启了两者的冷热分层存储功能,则热存储天数为二者中的最大值;如果您只开启RDS审计日志的冷热分层存储功能,没有开启RDS错误日志的冷热分层存储功能,则默认关闭其所在Logstore(rds_log)的冷热分层存储功能。
- 配置审计
- 日志审计服务依赖配置审计服务提供的配置类信息,您需在配置审计控制台开通配置审计服务,并开启全部资源的监控范围。
- 如果您需要在日志审计服务中采集、存储或查询配置审计日志,您需同意授权日志服务提取您在配置审计中记录的日志。授权后,您的配置审计日志将被自动推送到日志服务中。
- 如果您通过资源目录管理模式进行多账号采集,在中心账号授权后日志审计服务将会自动对资源目录配置的账号开通配置审计并集成日志服务;如果您通过自定义鉴权管理模式进行多账号采集,在中心账号授权后,其他成员账号还需进行额外的授权。具体操作,请参见自定义授权日志采集与同步。
- 冷热分层存储日志审计服务的专属Logstore支持冷热分层存储功能。相对热存储而言,冷存储成本更低,其数据的查询与分析性能有所降低,其余功能(例如告警、可视化、加工、投递等)不受影响。更多信息,请参见开启智能存储分层。说明 目前已支持智能冷热分层存储的审计中心区域为华北1(青岛)、华北2(北京)、华北5(呼和浩特)、华东1(杭州)、华东2(上海)、华南1(深圳)、中国(香港)和新加坡。
您可以在日志审计服务的全局配置页面开启冷热分层存储,其中热存储时间必须大于等于7天且不能超过当前存储天数。例如当前中心化存储时间为180天,开启30天热存储,则日志将在保存30天之后转为冷存储。
- 数据加密
日志审计服务支持通过日志服务自带的服务密钥加密,而非通过用户自带密钥(BYOK)加密。日志服务自带密钥的加密方式支持AES算法(默认)和国密算法SM4。更多信息,请参见数据加密。
开启日志加密后,日志服务将自动对当前已开启采集的云产品专属Logstore进行加密,包括中心化Project和区域化Project下的云产品专属Logstore。具体操作,请参见开启加密。
- 索引限制
日志审计服务支持自动更新索引或手动修改索引。具体操作,请参见自动更新索引。
修改索引时,如果系统提示该日志库是SLS应用日志审计专属库,不支持修改索引属性、关闭索引,请在日志审计服务的全局配置页面,单击修改,然后单击确定,重建日志审计服务配置。
重要 手动修改索引可能导致内置仪表盘、内置告警等不可用,请谨慎使用。