管理云产品采集规则

使用新版日志审计服务启动云产品采集后,您能在关联的Project中管理规则,包括创建、修改、禁用与删除。本文指导您如何管理这些采集规则。

操作步骤

控制台

  1. 进入采集规则页面。

    1. 登录日志服务控制台。在日志应用区域的审计与安全页签,单击新版日志审计服务

      image

    2. 单击目标Project名称。在云产品页签单击对应云产品卡片,或者在规则列表页签单击创建采集规则

      image

  2. 管理云产品采集规则。您可以创建新的采集规则,也可以对已创建的采集规则进行修改禁用删除

    image

    重要
    • 修改采集规则时,不允许修改日志类型和云产品名称,否则会报错。

    • 每个云产品可以为不同日志类型创建多个采集规则。在某个云产品实例中,这些采集规则会合并应用。只有当所有采集规则被禁用或删除时,实例的日志采集功能才会关闭。

    • 禁用或删除云产品采集规则,只会关闭被云产品采集规则开启过的实例日志,不会关闭在云产品控制台或CloudLens手动开启的云产品日志采集。

调用API

重要
  • 调用API时服务地址必须为华东2(上海)新加坡

  • 禁用或删除云产品采集规则,只会关闭被云产品采集规则开启过的实例日志,不会关闭在云产品控制台或CloudLens手动开启的云产品日志采集。

  • 每个云产品可以为不同日志类型创建多个采集规则。在某个云产品实例中,这些采集规则会合并应用。只有当所有采集规则被禁用或删除时,实例的日志采集功能才会关闭。

  • 修改采集规则时,不允许修改日志类型和云产品名称,否则会报错。

创建、修改、禁用日志审计采集规则,请参见:

采集规则参数说明

基础参数

image

属性

说明

规则名称

一个账号下全局唯一。最短3个字符,最长63个字符,必须以字母开头。

云产品名称

请参见云产品采集注意事项

日志类型

请参见云产品采集注意事项

资源匹配模式

  • 全部资源(all):只采集指定云产品的全部实例日志。

  • 属性模式(attributeMode):只采集满足指定地域集合和资源标签组合下的云产品实例日志。

  • 实例模式(instanceMode):只采集指定实例ID的云产品日志。

实例列表

只有当资源匹配模式为实例模式时有效,只采集实例ID在集合中的实例。

说明

如果实例下拉列表中没有选项,允许手动输入。当您为该云产品创建至少一条数据采集规则时,下拉列表会自动展示已存在的实例名称。

地域列表、资源标签

  • 只有当资源匹配模式为属性模式时有效,只采集满足指定地域集合和资源标签组合下的云产品实例日志。

  • 如果地域资源标签置空,则忽略相应筛选条件。

全局日志存储地域

只有当日志类型为全局日志类型时才支持配置,表示首次配置时全局日志将被采集到对应地域。

  • 对于同一云产品的不同日志类型,建议配置相同的存储地域。例如日志服务的全局审计日志、全局错误日志、性能监控指标,建议存储在默认地域下的Project中。

  • 全局日志存储地域,首次配置后立即生效。

    重要
    • 建议不要修改全局日志存储地域。如果需要修改,必须先删除所有对应日志类型的采集规则(包括Cloud Lens默认创建的规则及新建Project时自动创建的规则)。

    • SLS的全局日志说明,请参见开启日志采集功能。OSS的计量日志是全局日志,请参见日志字段详情

中心化配置

image

属性

说明

中心化目标项目

中心化转投的Project,固定为采集规则的关联Project,不可修改。

中心化目标存储库

  • 选择已有:在中心化目标项目中选择已创建的Logstore。

  • 新建:在中心化目标项目中新建一个Logstore。

    数据保存时间默认为30天,取值范围:1~3650,更长的数据保存时间会导致更多的日志存储费用。修改Logstore保存时间的操作步骤,请参见管理Logstore。降低日志存储成本的建议,请参见如何降低日志的存储成本?

中心化存储日志天数

只有当新建Logstore时生效,用于初始化新建Logstore的日志保存天数。这参数不会修改已有Logstore的日志保存天数。

多账号配置

image

  1. 使用资源目录构建多账号结构。只有资源目录管理员或委派管理员才能开启多账号模式。

    1. 使用管理账号登录资源管理控制台开通资源目录

    2. 创建资源夹

    3. 创建成员,或者邀请已有的阿里云账号,并将这些成员移动到对应的资源夹下。

      具体操作,请参见创建成员邀请阿里云账号加入资源目录移动成员

    4. 添加委派管理员账号

  2. 配置多账号模式

    多账号模式

    说明

    全员(all)

    • 采集全部成员账号的指定云产品日志。

    • 管理员或委派管理员配置的云产品采集规则,会影响资源目录配置下的全部成员账号。如果资源目录下有账号新增或变更,将会自动进行相应的规则创建或变更。

    自定义(custom)

    • 选择部分成员账号的指定云产品日志。

    • 管理员或委派管理员配置的云产品采集规则,只会影响自定义配置下的成员账号列表,不会影响其他成员账号。

常见错误码、错误信息及说明

错误码

错误信息

说明

NotMatch

productCode or dataCode are not match to current productCode or dataCode

修改规则时,日志类型和产品码不允许发生改变,否则会有不匹配错误。

PolicyNotExist

the collection policy does not exist

用户查询或者删除一个不存在的规则。

InvalidSLR

SLR not exist or created failed

服务关联角色不存在或者创建失败。当用户使用日志审计创建规则后,日志审计会自动在当前账号和成员账号(开通资源目录后)下,自动创建管理服务关联角色AliyunServiceRoleForSLSAudit

InvalidRAM

RAM is not enough for execute this action, please check current account ram policy of this operation

RAM用户没有操作日志审计的权限,请参考为RAM用户授权使用新版日志审计服务

InvalidProductData

Invalid Product Code or Data Code

无效的产品码和日志类型码。

InvalidProductData

Invalid Policy Name

无效的规则名称。

InvalidPolicyConfig

Policy Config : resourceMode should be all/instanceMode/attributeMode

资源模式只支持全部资源(all)、实例模式(instanceMode)、属性模式( attributeMode) 三种。

InvalidPolicyConfig

Policy Config : resourceMode should be all for lens global log type

对于洞察全局日志类型,资源模式只能配置为全部资源(all)。

InvalidPolicyConfig

Policy Config : resourceMode should be attribute mode for security log type

对于安全日志类型,资源模式只能配置为属性模式( attributeMode)。

InvalidPolicyConfig

Policy Config : you should set at least one center region for security log type

对于安全日志类型,用户至少需要配置一个一级中心地域来源。

InvalidPolicyConfig

Policy Config : this productCode and dataCode not allowed to config instance ids

对于安全日志类型,不允许配置实例列表。

InvalidConfig

Please check if the project/logstore belongs to you or the project/logstore in right region

中心化配置的日志项目或日志库不属于当前账号,或者配置的地域不是当前日志库所在的地域。

InvalidConfig

policyCode and dataCode is required when you need to list policy by instanceId that meet the filter conditions

当需要按照实例ID进行查找匹配规则时,产品码和日志类型码是必填的。

InvalidCentralizeConfig

when centralizeEnabled, you should set at least one centralize config

当中心化选项配置开启时,需要配置对应的中心化日志库信息。

InvalidCentralizeConfig

centralize config is necessary for security product log collection

对于安全类型日志,必须配置中心化。

InvalidCentralizeConfig

dest project, dest logstore, dest region, dest ttl should not be empty when centralize enabled

当中心化选项配置开启时,中心化日志项目、日志库、日志存储周期,都不能为空。

InvalidCentralizeConfig

dest project invalid for centralize config

中心化配置日志项目无效。

InvalidCentralizeConfig

dest logstore invalid for centralize config

中心化配置日志库无效。

InvalidCentralizeConfig

dest region invalid for centralize config

中心化配置地域无效。

InvalidResourceDirectoryConfig

Policy ResourceDirectory Config : when you set resource directory, you should set account group type first

当配置资源目录时,必须配置多账号模式

InvalidResourceDirectoryConfig

Policy ResourceDirectory Config: instance mode not allowed to set resource directory

如果开启了多账号资源目录设置,那么不允许配置资源属性为实例模式。

InvalidResourceDirectoryConfig

Policy ResourceDirectory Config : members should not be empty

多账号模式为自定义时,必须配置成员列表且不能为空。

InvalidResourceDirectoryConfig

Policy ResourceDirectory Config : centralize config enabled is required for resource directory

因为资源目录是日志审计特有,因此开启资源目录配置,必须开启中心化转投。

InvalidResourceDirectoryConfig

Policy ResourceDirectory Config : the account resource directory not in use

当前账号没有开启资源目录。

InvalidResourceDirectoryConfig

Policy ResourceDirectory Config : the account is neither a delegated admin nor a master, just a member account

当前账号既不是管理员也不是委派管理员,只是一个成员账号,因此不允许配置规则下的资源目录模式。

InvalidResourceDirectoryConfig

Policy ResourceDirectory Config : custom members include invalid account

多账号模式为自定义的情况下,配置的成员账号列表中包含了无效的账号ID。

InvalidDataConfig

Policy DataConfig: the data region is not valid

全局类型的日志的默认投递地域配置无效。

InvalidDataConfig

Policy DataConfig: this kind of product is not allowed to set data config

当前产品类型或日志类型不是全局类型的日志,因此不允许配置。

InvalidDataConfig

Policy DataConfig: the data region already exist in other policy, you cannot change

对于全局类型的日志,一旦配置了默认投递地域,则首次配置即生效,不允许修改。

相关文档

  • 如果使用RAM用户操作新版日志审计服务,需要使用阿里云主账号为RAM用户授予相应权限,具体步骤请参见为RAM用户授权使用新版日志审计服务

  • 各个云产品的日志类型、默认Project名称、默认Logstore名称、日志计费等信息请参见云产品采集注意事项

  • 如果需要采集多个云账号下的云产品日志,需要先开通资源目录,然后使用资源目录的管理员或委派管理员配置云产品采集规则,将成员账号的云产品日志采集到指定Project,操作步骤请参见云产品采集注意事项