主机资源模块是云监控日志审计的一部分,用户可以在该模块下访问与主机相关的信息,包括 ECS 实体和操作系统用户实体的详细数据。
接入方式
登录云监控2.0控制台,单击目标工作空间后,在应用中心找到日志审计并单击,然后在资源中心的主机中进行接入。若您已接入但无数据展示,请参考提示在页面右上角修改时间范围。
在接入配置页面可使用默认配置,直接单击确定等待接入完成。
接入成功后,可在接入中心的接入管理中进行查看。例如策略ID为cloud-acs-ecs-audit-1739174112732。
接入后会为用户自动创建如下资源:在SLS中创建名为
workspace-{WORKSPACE 名称}-{WORKSPACE 地域}的Project与Logtail 采集配置:{接入策略 ID}-{环境随机变量}-system,用于采集 SystemdJournal 日志以及定时 SQL 任务。
定时 SQL 名称
作用
结果输出
说明
{{ 接入策略ID}}-os-user-entity
用于从 SystemdJournal 日志中提取用户的 操作系统用户 实体
workspace 专属的 SLS 日志库,
Project:
cms-{worksapce 名称}-{随机 ID}logstore:
{worksapce 名称}__entity仅支持日志满足以下查询条件的系统用户提取
会话开启,且信息中 pam_unix 内容
新建用户,且信息中包含new user 内容
sudo 命令执行
{{ 接入策略ID}}-os-user-topo
用于从 SystemdJournal 日志中提取用户的 操作系统用户 实体和 主机实例的关联
workspace 专属的 SLS 日志库,
Project:
cms-{worksapce 名称}-{随机 ID}logstore:
{worksapce 名称}__topo
使用详情
主要功能包括:
主机列表
查询条件
用户可以设置查询条件以过滤信息。示例中使用了两个条件:
domain = acs
type = acs.ecs.instance
页面布局
页面包括以下主要部分:
ECS 实例 ID:所采集日志对应的机器 ID。
ECS 实例 IP:所采集日志对应的机器 IP。
区域:ECS所属区域。
实例状态:ECS实例运行状态。
安全组:ECS所属安全组。
专有网络:ECS使用的VPC。
ECS详情
点击具体的ECS名称可以进入详情查看:
关联拓扑
系统用户列表
查询条件
用户可以设置查询条件以过滤信息。示例中使用了两个条件:
domain = acs
type = acs.ecs.os_user
页面布局
管理页面包括以下主要部分:
系统用户:具体的系统用户名,例如 root。
ECS 实例 ID:所采集日志对应的机器 ID。
系统用户详情
点击具体的系统用户名称可以进入详情查看。
关联拓扑
