日志审计(新版)提供可视化工具,汇总并呈现关键性能指标、重要数据和分析结果,包括云产品、运行时、AK审计。
功能入口
-
登录日志服务控制台,在日志应用区域,选择。
-
单击目标Project。在目标Project的页面中,单击报表中心。
云产品
前提条件
已开启对应云产品的采集功能。具体操作,请参见开启云产品采集。
概览
报表中心云产品的概览请参见云产品。
运行时
前提条件
已开启对应运行时的采集功能。具体操作,请参见配置运行时日志采集。
Falco
运行时告警概览,基于告警等级、类型、规则分类、告警Pod维度分别统计告警事件。告警概览包括告警级别统计、事件类型统计、规则分类等图表。
在左侧导航栏选择运行时,打开 Falco 告警概览页面。页面顶部提供告警等级、告警类型、规则分类和告警Pod筛选条件,支持按对应维度过滤告警事件。下方依次展示告警级别统计、事件类型统计和规则分类等图表,呈现各维度告警事件的分布情况。
Tetragon
运行时事件概览
运行时事件概览基于文件、网络、进程三个维度分类展示运行时事件。运行时事件概览包括总事件数、文件类事件数、网络事件数等图表。
在左侧导航栏选择运行时,打开 Tetragon 运行时事件概览页面。页面顶部提供 ExecId(exec_id)、Pod Namespace(pod.namespace)和 Pod(pod.name)三个筛选条件,支持按执行ID、命名空间和Pod名称过滤事件。概览区域还包含CallName分类图表,展示各系统调用的占比分布。
运行时事件trace
运行时事件trace是容器运行时事件trace调用关系详情。
在左侧导航栏选择报表中心 > 运行时,顶部下拉框选择Tetragon,单击运行时事件trace页签。可通过执行id(exec_id)、Pod Namespace(pod.namespace)、Pod(pod.name)筛选事件。展开process_exec分区,查看事件trace详情表格,包含start_time、PodName、exec_id、cost_s、pid、Binary、arguments及parent_process_exec_id、parent_process_binary、parent_process_arguments、parent_process_pid等父进程相关字段。
AK审计
AK审计报表基于操作审计日志、OSS访问日志和SLS详细日志作为数据源,展示了云服务/全局服务、OSS和SLS三大类事件或行为的AccessKey相关审计及统计信息。该报表可以从用户身份的角度出发(例如主账号、子账号、角色扮演)等,通过过滤器展示具体身份对应的关键信息。
在左侧导航栏选择AK审计进入仪表盘。AK操作审计页签提供用户身份账号(principalId)、用户身份类型(type)、角色扮演-角色(userName)、子用户AK(accessKeyId)四个过滤字段,下方展示事件来源服务分布、事件类型分布及Top100非只读型事件概览图表。