主机资源模块是云监控日志审计的一部分,用户可以在该模块下访问与主机相关的信息,包括 ECS 实体和操作系统用户实体的详细数据。
接入方式
登录云监控2.0控制台,单击目标工作空间后,在应用中心找到日志审计并单击,然后在资源中心的主机中点击接入数据。若您已接入但无数据展示,请参考提示在页面右上角修改时间范围。
在ECS 审计日志页面可使用默认配置,直接单击确定等待接入完成。
接入成功后,可在接入中心的接入管理中进行查看。例如策略ID为cloud-acs-ecs-audit-1739174112732。
接入后会为用户自动创建如下资源:在SLS中创建名为
workspace-{WORKSPACE 名称}-{WORKSPACE 地域}的Project与Logtail 采集配置:{接入策略 ID}-{环境随机变量}-system,用于采集 SystemdJournal 日志以及定时 SQL 任务。
定时 SQL 名称
作用
结果输出
说明
{{ 接入策略ID}}-os-user-entity
用于从 SystemdJournal 日志中提取用户的 操作系统用户 实体
workspace 专属的 SLS 日志库,
Project:
cms-{worksapce 名称}-{随机 ID}logstore:
{worksapce 名称}__entity仅支持日志满足以下查询条件的系统用户提取
会话开启,且信息中 pam_unix 内容
新建用户,且信息中包含new user 内容
sudo 命令执行
{{ 接入策略ID}}-os-user-topo
用于从 SystemdJournal 日志中提取用户的 操作系统用户 实体和 主机实例的关联
workspace 专属的 SLS 日志库,
Project:
cms-{worksapce 名称}-{随机 ID}logstore:
{worksapce 名称}__topo
使用详情
支持主机与系统用户两种维度查看数据:
主机:在日志审计>资源中心>主机模块的主机列表页面,可以查看ECS实例信息;
系统用户:在日志审计>资源中心>主机模块的系统用户列表页面,可以查看系统用户和对应ECS实例ID信息。