配置审计(Cloud Config)是一项自动化的资源审计服务,用于持续评估云上IT资源的合规性。该服务可以生成定时快照、记录配置变更历史,并检测不合规事件。您可以将这些数据投递到日志服务SLS的指定日志库,以便后续查询和分析。本文介绍如何配置日志审计服务采集配置审计日志。
背景知识
-
配置审计(Cloud Config)是一项资源审计服务,为您提供面向资源的配置历史追踪、配置合规审计等能力。更多信息,请参阅什么是配置审计。
-
日志审计服务依托于阿里云日志服务平台,支持通过多日志项目中心管理日志数据,您可以将云产品日志集中汇总、查询、统计、分析,同时满足数据合规的相关地域限制要求。实现依法、有序的数据自由流动管理。更多信息,请参阅新版日志审计服务概述。
概览
前提条件
-
请确保您已开通日志服务SLS。具体操作,请参见使用LoongCollector采集并分析ECS文本日志。
-
使用配置审计之前,必须先开通配置审计服务,具体操作,请参见开通配置审计服务。
1. 关联Project
-
登录日志服务控制台,创建Project和LogStore。LogStore的名称必须以
cloudconfig_为前缀。例如创建地域为华东1(杭州),名称为sample-config-cn-hangzhou的 Project,名称为cloudconfig_sample的LogStore。 -
在日志应用区域的审计与安全页签,单击新版日志审计服务。
-
在新版日志审计页面,单击关联Project,在对话框中配置关联的Project,然后单击确定关联。
说明配置审计日志会投递到日志审计关联的 Project 中。
对话框包含地域、Project和注释三个配置项。
-
在日志审计的页面,单击已关联的Project 的名称。
-
在云产品页签中选择配置审计,单击前往开启。
2. 创建投递
-
在配置审计>前往开启面板,明确创建投递的要求,单击配置审计控制台。
投递应满足以下要求:投递名称不限制,渠道类型为日志服务SLS,接收内容为全选,日志项目地域为
cn-beijing,日志项目名称为lh-test,日志库名称为以cloudconfig_为前缀的日志库。仅当日志审计关联Project下存在以cloudconfig_为前缀的日志库,才会被认为已开启配置审计的采集。 -
在配置审计控制台,根据要求进行如下配置,创建名为
sample-config的投递。设置渠道类型为日志服务 SLS,接收内容勾选配置变更快照、资源不合规事件和资源定时快照,日志项目来源选择选择本账号中已有的日志项目,日志项目地址选择华东1(杭州),日志项目名称选择
sample-config-cn-hangzhou,日志库名称选择cloudconfig_sample,事件的最低风险等级选择全部等级,指定资源类型事件选择全部资源类型,然后单击确认。 -
创建投递成功后,查看详情如下。
投递详情页面显示基本信息:投递名称为
sample-config,渠道类型为日志服务 SLS,状态为已开启。扩展信息:日志库名称为cloudconfig_sample,日志项目名称为sample-config-cn-hangzhou,地域为华东1(杭州),接收内容包括配置变更历史、资源定时快照和资源不合规事件,事件的最低风险等级为全部等级,指定资源类型事件为全部资源类型。页面右上角提供编辑、停用和删除操作按钮。
3. 查询分析
-
在日志审计列表,进入到目标Project页,在云产品页签,选择已开启云产品列表中的配置审计,单击前往查看。
-
在查询分析>配置审计日志页,进行分析和查询。
说明在配置审计控制台中创建投递后,首次进入日志库默认情况下没有启用索引,这可能会导致操作报错。请确保启用日志库的索引。具体操作步骤,请参见创建索引。
在查询栏输入查询条件后,单击 查询/分析 按钮执行查询,在 原始日志 页签中查看日志查询结果。