将云安全中心日志接入日志审计服务

为了集中管理和分析来自不同地域和多个账户的云安全中心日志,您可以使用日志服务的新版日志审计服务功能,将这些日志采集到同一个 Project 中。

工作原理

当您开通云安全中心日志分析功能后,安全中心日志数据默认存储在 Project(名称为sas-log-${阿里云账号ID}-${地域ID})和 Logstore(名称为sas-log)。您可以使用日志服务的新版日志审计服务功能将不同地域、多账号的云安全中心日志采集到日志服务的同一个 Project。

image

前提条件

1. 关联Project

云安全中心的日志会被汇总到您关联的Project中。

  1. 登录日志服务控制台。在日志应用区域的审计与安全页签,单击新版日志审计服务

    image

  2. 在新版日志审计服务页面,单击关联Project,在对话框中配置Project,然后单击确定关联

    image

2. 创建采集规则

2.1 配置采集规则

  1. 在新版日志审计服务的页面,单击目标Project的名称。

    image

  2. 规则列表页签,单击创建采集规则,根据下图配置,例如将资源目录下的2个账号的杭州和新加坡地域的云安全中心日志中心化转投到目标a-multi-accounts-security-log-center下的 central-sas-log中。采集规则参数的详细说明,请参见云产品配置注意事项

    image

    image

2.2 验证采集结果

  1. 规则列表页签,单击刚创建的采集规则的名称。

    image

  2. 查询分析页面,使用查询语法对日志进行查询和分析。云安全中心日志的类别和字段说明,请参见日志类别及字段说明

    image

相关文档