使用新版日志审计服务启动云产品采集后,您能在关联的Project中管理规则,包括创建、修改、禁用与删除。本文指导您如何管理这些采集规则。
操作步骤
控制台
-
进入采集规则页面。
-
登录日志服务控制台。在日志应用区域的审计与安全页签,单击新版日志审计服务。
-
单击目标Project名称。在云产品页签单击对应云产品卡片,或者在规则列表页签单击创建采集规则。
-
-
管理云产品采集规则。您可以创建新的采集规则,也可以对已创建的采集规则进行修改、禁用或删除。
重要-
修改采集规则时,不允许修改日志类型和云产品名称,否则会报错。
-
每个云产品可以为不同日志类型创建多个采集规则。在某个云产品实例中,这些采集规则会合并应用。只有当所有采集规则被禁用或删除时,实例的日志采集功能才会关闭。
-
禁用或删除云产品采集规则,只会关闭被云产品采集规则开启过的实例日志,不会关闭在云产品控制台或CloudLens手动开启的云产品日志采集。
-
调用API
-
调用API时服务地址必须为华东2(上海)或新加坡。
-
禁用或删除云产品采集规则,只会关闭被云产品采集规则开启过的实例日志,不会关闭在云产品控制台或CloudLens手动开启的云产品日志采集。
-
每个云产品可以为不同日志类型创建多个采集规则。在某个云产品实例中,这些采集规则会合并应用。只有当所有采集规则被禁用或删除时,实例的日志采集功能才会关闭。
-
修改采集规则时,不允许修改日志类型和云产品名称,否则会报错。
创建、修改、禁用日志审计采集规则,请参见:
采集规则参数说明
基础参数
|
属性 |
说明 |
|
规则名称 |
一个账号下全局唯一。最短3个字符,最长63个字符,必须以字母开头。 |
|
云产品名称 |
请参见云产品采集注意事项。 |
|
日志类型 |
请参见云产品采集注意事项。 |
|
资源匹配模式 |
|
|
实例列表 |
只有当资源匹配模式为实例模式时有效,只采集实例ID在集合中的实例。 说明
如果实例下拉列表中没有选项,允许手动输入。当您为该云产品创建至少一条数据采集规则时,下拉列表会自动展示已存在的实例名称。 |
|
地域列表、资源标签 |
|
|
全局日志存储地域 |
只有当日志类型为全局日志类型时才支持配置,表示首次配置时全局日志将被采集到对应地域。
|
中心化配置
日志通过数据加工写入中心化目标库,当默认投递的日志库需要写入多个中心化目标库时,应确保每个目标库均存在。若需删除某中心化目标库,须先移除相关的采集规则,否则可能影响其他目标库的正常写入。
|
属性 |
说明 |
|
中心化目标项目 |
中心化转投的Project,固定为采集规则的关联Project,不可修改。 |
|
中心化目标存储库 |
|
|
中心化存储日志天数 |
只有当新建LogStore时生效,用于初始化新建LogStore的日志保存天数。这参数不会修改已有LogStore的日志保存天数。 |
多账号配置
-
使用资源目录构建多账号结构。只有资源目录管理员或委派管理员才能开启多账号模式。
-
配置多账号模式。
多账号模式
说明
全员(all)
-
采集全部成员账号的指定云产品日志。
-
管理员或委派管理员配置的云产品采集规则,会影响资源目录配置下的全部成员账号。如果资源目录下有账号新增或变更,将会自动进行相应的规则创建或变更。
自定义(custom)
-
选择部分成员账号的指定云产品日志。
-
管理员或委派管理员配置的云产品采集规则,只会影响自定义配置下的成员账号列表,不会影响其他成员账号。
-
常见错误码、错误信息及说明
|
错误码 |
错误信息 |
说明 |
|
DeregisterDA.Deny.TrustedService |
禁止,当前管理账号已配置统一接入api下的resource directory,请先更新或者删除统一接入相关配置。 |
如果移除资源目录、可信服务、委派管理员之前,遇到如下报错, 说明当前委派管理员账号下存在采集规则尚未移除。 解决方式:
|
|
NotMatch |
productCode or dataCode are not match to current productCode or dataCode |
修改规则时,日志类型和产品码不允许发生改变,否则会有不匹配错误。 |
|
PolicyNotExist |
the collection policy does not exist |
用户查询或者删除一个不存在的规则。 |
|
InvalidSLR |
SLR not exist or created failed |
服务关联角色不存在或者创建失败。当用户使用日志审计创建规则后,日志审计会自动在当前账号和成员账号(开通资源目录后)下,自动创建管理服务关联角色AliyunServiceRoleForSLSAudit。 |
|
InvalidRAM |
RAM is not enough for execute this action, please check current account ram policy of this operation |
RAM用户没有操作日志审计的权限,请参考授权RAM用户操作日志审计(新版)。 |
|
InvalidProductData |
Invalid Product Code or Data Code |
无效的产品码和日志类型码。 |
|
InvalidProductData |
Invalid Policy Name |
无效的规则名称。 |
|
InvalidPolicyConfig |
Policy Config : resourceMode should be all/instanceMode/attributeMode |
资源模式只支持全部资源(all)、实例模式(instanceMode)、属性模式( attributeMode) 三种。 |
|
InvalidPolicyConfig |
Policy Config : resourceMode should be all for lens global log type |
对于洞察全局日志类型,资源模式只能配置为全部资源(all)。 |
|
InvalidPolicyConfig |
Policy Config : resourceMode should be attribute mode for security log type |
对于安全日志类型,资源模式只能配置为属性模式( attributeMode)。 |
|
InvalidPolicyConfig |
Policy Config : you should set at least one center region for security log type |
对于安全日志类型,用户至少需要配置一个一级中心地域来源。 |
|
InvalidPolicyConfig |
Policy Config : this productCode and dataCode not allowed to config instance ids |
对于安全日志类型,不允许配置实例列表。 |
|
InvalidConfig |
Please check if the project/LogStore belongs to you or the project/LogStore in right region |
中心化配置的日志项目或日志库不属于当前账号,或者配置的地域不是当前日志库所在的地域。 |
|
InvalidConfig |
policyCode and dataCode is required when you need to list policy by instanceId that meet the filter conditions |
当需要按照实例ID进行查找匹配规则时,产品码和日志类型码是必填的。 |
|
InvalidCentralizeConfig |
when centralizeEnabled, you should set at least one centralize config |
当中心化选项配置开启时,需要配置对应的中心化日志库信息。 |
|
InvalidCentralizeConfig |
centralize config is necessary for security product log collection |
对于安全类型日志,必须配置中心化。 |
|
InvalidCentralizeConfig |
dest project, dest LogStore, dest region, dest ttl should not be empty when centralize enabled |
当中心化选项配置开启时,中心化日志项目、日志库、日志存储周期,都不能为空。 |
|
InvalidCentralizeConfig |
dest project invalid for centralize config |
中心化配置日志项目无效。 |
|
InvalidCentralizeConfig |
dest LogStore invalid for centralize config |
中心化配置日志库无效。 |
|
InvalidCentralizeConfig |
dest region invalid for centralize config |
中心化配置地域无效。 |
|
InvalidResourceDirectoryConfig |
Policy ResourceDirectory Config : when you set resource directory, you should set account group type first |
当配置资源目录时,必须配置多账号模式。 |
|
InvalidResourceDirectoryConfig |
Policy ResourceDirectory Config: instance mode not allowed to set resource directory |
如果开启了多账号资源目录设置,那么不允许配置资源属性为实例模式。 |
|
InvalidResourceDirectoryConfig |
Policy ResourceDirectory Config : members should not be empty |
当多账号模式为自定义时,必须配置成员列表且不能为空。 |
|
InvalidResourceDirectoryConfig |
Policy ResourceDirectory Config : centralize config enabled is required for resource directory |
因为资源目录是日志审计特有,因此开启资源目录配置,必须开启中心化转投。 |
|
InvalidResourceDirectoryConfig |
Policy ResourceDirectory Config : the account resource directory not in use |
当前账号没有开启资源目录。 |
|
InvalidResourceDirectoryConfig |
Policy ResourceDirectory Config : the account is neither a delegated admin nor a master, just a member account |
当前账号既不是管理员也不是委派管理员,只是一个成员账号,因此不允许配置规则下的资源目录模式。 |
|
InvalidResourceDirectoryConfig |
Policy ResourceDirectory Config : custom members include invalid account |
多账号模式为自定义的情况下,配置的成员账号列表中包含了无效的账号ID。 |
|
InvalidDataConfig |
Policy DataConfig: the data region is not valid |
全局类型的日志的默认投递地域配置无效。 |
|
InvalidDataConfig |
Policy DataConfig: this kind of product is not allowed to set data config |
当前产品类型或日志类型不是全局类型的日志,因此不允许配置。 |
|
InvalidDataConfig |
Policy DataConfig: the data region already exist in other policy, you cannot change |
对于全局类型的日志,一旦配置了默认投递地域,则首次配置即生效,不允许修改。 |
相关文档
-
如果使用RAM用户操作新版日志审计服务,需要使用阿里云主账号为RAM用户授予相应权限,具体步骤请参见授权RAM用户操作日志审计(新版)。
-
各个云产品的日志类型、默认Project名称、默认LogStore名称、日志计费等信息请参见云产品采集注意事项。
-
如果需要采集多个云账号下的云产品日志,需要先开通资源目录,然后使用资源目录的管理员或委派管理员配置云产品采集规则,将成员账号的云产品日志采集到指定Project,操作步骤请参见云产品采集注意事项。