使用新版日志审计服务启动云产品采集后,您能在关联的Project中管理规则,包括创建、修改、禁用与删除。本文指导您如何管理这些采集规则。
操作步骤
控制台
进入采集规则页面。
登录日志服务控制台。在日志应用区域的审计与安全页签,单击新版日志审计服务。
单击目标Project名称。在云产品页签单击对应云产品卡片,或者在规则列表页签单击创建采集规则。
管理云产品采集规则。您可以创建新的采集规则,也可以对已创建的采集规则进行修改、禁用或删除。
重要修改采集规则时,不允许修改日志类型和云产品名称,否则会报错。
每个云产品可以为不同日志类型创建多个采集规则。在某个云产品实例中,这些采集规则会合并应用。只有当所有采集规则被禁用或删除时,实例的日志采集功能才会关闭。
禁用或删除云产品采集规则,只会关闭被云产品采集规则开启过的实例日志,不会关闭在云产品控制台或CloudLens手动开启的云产品日志采集。
调用API
调用API时服务地址必须为华东2(上海)或新加坡。
禁用或删除云产品采集规则,只会关闭被云产品采集规则开启过的实例日志,不会关闭在云产品控制台或CloudLens手动开启的云产品日志采集。
每个云产品可以为不同日志类型创建多个采集规则。在某个云产品实例中,这些采集规则会合并应用。只有当所有采集规则被禁用或删除时,实例的日志采集功能才会关闭。
修改采集规则时,不允许修改日志类型和云产品名称,否则会报错。
创建、修改、禁用日志审计采集规则,请参见:
采集规则参数说明
基础参数
属性 | 说明 |
规则名称 | 一个账号下全局唯一。最短3个字符,最长63个字符,必须以字母开头。 |
云产品名称 | 请参见云产品采集注意事项。 |
日志类型 | 请参见云产品采集注意事项。 |
资源匹配模式 |
|
实例列表 | 只有当资源匹配模式为实例模式时有效,只采集实例ID在集合中的实例。 说明 如果实例下拉列表中没有选项,允许手动输入。当您为该云产品创建至少一条数据采集规则时,下拉列表会自动展示已存在的实例名称。 |
地域列表、资源标签 |
|
全局日志存储地域 | 只有当日志类型为全局日志类型时才支持配置,表示首次配置时全局日志将被采集到对应地域。
|
中心化配置
属性 | 说明 |
中心化目标项目 | 中心化转投的Project,固定为采集规则的关联Project,不可修改。 |
中心化目标存储库 |
|
中心化存储日志天数 | 只有当新建Logstore时生效,用于初始化新建Logstore的日志保存天数。这参数不会修改已有Logstore的日志保存天数。 |
多账号配置
使用资源目录构建多账号结构。只有资源目录管理员或委派管理员才能开启多账号模式。
配置多账号模式。
多账号模式
说明
全员(all)
采集全部成员账号的指定云产品日志。
管理员或委派管理员配置的云产品采集规则,会影响资源目录配置下的全部成员账号。如果资源目录下有账号新增或变更,将会自动进行相应的规则创建或变更。
自定义(custom)
选择部分成员账号的指定云产品日志。
管理员或委派管理员配置的云产品采集规则,只会影响自定义配置下的成员账号列表,不会影响其他成员账号。
常见错误码、错误信息及说明
错误码 | 错误信息 | 说明 |
NotMatch | productCode or dataCode are not match to current productCode or dataCode | 修改规则时,日志类型和产品码不允许发生改变,否则会有不匹配错误。 |
PolicyNotExist | the collection policy does not exist | 用户查询或者删除一个不存在的规则。 |
InvalidSLR | SLR not exist or created failed | 服务关联角色不存在或者创建失败。当用户使用日志审计创建规则后,日志审计会自动在当前账号和成员账号(开通资源目录后)下,自动创建管理服务关联角色AliyunServiceRoleForSLSAudit。 |
InvalidRAM | RAM is not enough for execute this action, please check current account ram policy of this operation | RAM用户没有操作日志审计的权限,请参考为RAM用户授权使用新版日志审计服务。 |
InvalidProductData | Invalid Product Code or Data Code | 无效的产品码和日志类型码。 |
InvalidProductData | Invalid Policy Name | 无效的规则名称。 |
InvalidPolicyConfig | Policy Config : resourceMode should be all/instanceMode/attributeMode | 资源模式只支持全部资源(all)、实例模式(instanceMode)、属性模式( attributeMode) 三种。 |
InvalidPolicyConfig | Policy Config : resourceMode should be all for lens global log type | 对于洞察全局日志类型,资源模式只能配置为全部资源(all)。 |
InvalidPolicyConfig | Policy Config : resourceMode should be attribute mode for security log type | 对于安全日志类型,资源模式只能配置为属性模式( attributeMode)。 |
InvalidPolicyConfig | Policy Config : you should set at least one center region for security log type | 对于安全日志类型,用户至少需要配置一个一级中心地域来源。 |
InvalidPolicyConfig | Policy Config : this productCode and dataCode not allowed to config instance ids | 对于安全日志类型,不允许配置实例列表。 |
InvalidConfig | Please check if the project/logstore belongs to you or the project/logstore in right region | 中心化配置的日志项目或日志库不属于当前账号,或者配置的地域不是当前日志库所在的地域。 |
InvalidConfig | policyCode and dataCode is required when you need to list policy by instanceId that meet the filter conditions | 当需要按照实例ID进行查找匹配规则时,产品码和日志类型码是必填的。 |
InvalidCentralizeConfig | when centralizeEnabled, you should set at least one centralize config | 当中心化选项配置开启时,需要配置对应的中心化日志库信息。 |
InvalidCentralizeConfig | centralize config is necessary for security product log collection | 对于安全类型日志,必须配置中心化。 |
InvalidCentralizeConfig | dest project, dest logstore, dest region, dest ttl should not be empty when centralize enabled | 当中心化选项配置开启时,中心化日志项目、日志库、日志存储周期,都不能为空。 |
InvalidCentralizeConfig | dest project invalid for centralize config | 中心化配置日志项目无效。 |
InvalidCentralizeConfig | dest logstore invalid for centralize config | 中心化配置日志库无效。 |
InvalidCentralizeConfig | dest region invalid for centralize config | 中心化配置地域无效。 |
InvalidResourceDirectoryConfig | Policy ResourceDirectory Config : when you set resource directory, you should set account group type first | 当配置资源目录时,必须配置多账号模式。 |
InvalidResourceDirectoryConfig | Policy ResourceDirectory Config: instance mode not allowed to set resource directory | 如果开启了多账号资源目录设置,那么不允许配置资源属性为实例模式。 |
InvalidResourceDirectoryConfig | Policy ResourceDirectory Config : members should not be empty | 当多账号模式为自定义时,必须配置成员列表且不能为空。 |
InvalidResourceDirectoryConfig | Policy ResourceDirectory Config : centralize config enabled is required for resource directory | 因为资源目录是日志审计特有,因此开启资源目录配置,必须开启中心化转投。 |
InvalidResourceDirectoryConfig | Policy ResourceDirectory Config : the account resource directory not in use | 当前账号没有开启资源目录。 |
InvalidResourceDirectoryConfig | Policy ResourceDirectory Config : the account is neither a delegated admin nor a master, just a member account | 当前账号既不是管理员也不是委派管理员,只是一个成员账号,因此不允许配置规则下的资源目录模式。 |
InvalidResourceDirectoryConfig | Policy ResourceDirectory Config : custom members include invalid account | 多账号模式为自定义的情况下,配置的成员账号列表中包含了无效的账号ID。 |
InvalidDataConfig | Policy DataConfig: the data region is not valid | 全局类型的日志的默认投递地域配置无效。 |
InvalidDataConfig | Policy DataConfig: this kind of product is not allowed to set data config | 当前产品类型或日志类型不是全局类型的日志,因此不允许配置。 |
InvalidDataConfig | Policy DataConfig: the data region already exist in other policy, you cannot change | 对于全局类型的日志,一旦配置了默认投递地域,则首次配置即生效,不允许修改。 |
相关文档
如果使用RAM用户操作新版日志审计服务,需要使用阿里云主账号为RAM用户授予相应权限,具体步骤请参见为RAM用户授权使用新版日志审计服务。
各个云产品的日志类型、默认Project名称、默认Logstore名称、日志计费等信息请参见云产品采集注意事项。
如果需要采集多个云账号下的云产品日志,需要先开通资源目录,然后使用资源目录的管理员或委派管理员配置云产品采集规则,将成员账号的云产品日志采集到指定Project,操作步骤请参见云产品采集注意事项。