投递用户操作日志到SLS日志库进行审计-无影云电脑企业版-阿里云

无影云电脑支持将终端用户的操作日志投递到日志服务SLS的日志库，以便通过日志服务实现对终端用户操作日志的审计及监控管理，并针对可疑操作日志及时发出告警，避免信息泄露，以保证业务数据安全。本文介绍投递用户操作日志的权限说明及操作步骤。

背景信息

使用投递用户操作日志功能前，您需要了解以下背景信息：

日志服务是云原生观测与分析平台，为Log、Metric、Trace等数据提供大规模、低成本、实时的平台化服务。日志服务提供一站式数据采集、加工、查询与分析、可视化、告警、消费与投递等功能，全面提升研发、运维、运营、安全等场景的数字化能力。详细信息，请参见什么是日志服务。
日志库（Logstore）是日志服务中日志数据的采集、存储和查询单元。详细信息，请参见日志库（Logstore）。
通过无影云电脑投递用户操作日志的过程不收取费用。但投递用户操作日志功能依赖于日志服务，用户操作日志投递到日志服务后，日志服务会收取存储日志的费用，费用详情请参见计费概述。

服务关联角色是与特定的云服务关联的角色，可以更好地配置云服务正常操作所必须的权限，避免误操作带来的风险。更多关于服务关联角色的信息，请参见服务关联角色。

当您首次使用无影云电脑的投递用户操作日志功能时，系统将自动创建一个服务关联角色，并为其授予权限策略。具体信息如下：

角色名称：AliyunServiceRoleForGwsLogDelivery
权限策略：AliyunServiceRolePolicyForGwsLogDelivery
权限说明：无影云电脑使用服务关联角色（AliyunServiceRoleForGwsLogDelivery）来访问日志服务的日志库信息，以完成日志投递任务。

该权限策略包含的云服务访问权限

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "log:CreateProject",
            "Resource": "acs:log:*:*:project/elastic-desktop-*"
        },
        {
            "Action": [
                "log:GetProject",
                "log:ListProject"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "log:CreateLogstore",
                "log:ListLogStores",
                "log:PostLogStoreLogs",
                "log:GetLogstore",
                "log:CreateIndex",
                "log:UpdateIndex",
                "log:GetIndex"
            ],
            "Resource": "acs:log:*:*:project/elastic-desktop-*/logstore/elastic_desktop_*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "log-delivery.gws.aliyuncs.com"
                }
            }
        }
    ]
}

如果您无需使用该服务关联角色（AliyunServiceRoleForGwsLogDelivery），您可以将其删除，但必须先通过控制台或者OpenAPI删除依赖该服务关联角色的云电脑资源，即取消投递。具体操作，请参见删除RAM角色。

前提条件

您已开通并授权日志服务。具体操作，请参见快速入门。

操作步骤

登录无影云电脑企业版控制台。
在左侧导航栏，选择安全与审计 > 操作日志。
单击用户操作日志页签，然后单击右上角的投递到SLS日志库。
（条件）首次使用该功能时，在弹出的无影云电脑服务关联角色对话框中单击确定。
在投递到SLS日志库面板中配置日志库，您可以新增一个日志库，也可以选择一个现有的日志库。配置完毕后单击确定。

常见问题

为什么使用RAM用户操作时，无法自动创建无影云电脑服务关联角色（AliyunServiceRoleForGwsLogDelivery）？

RAM用户（子账号）需要拥有指定的权限（CreateServiceLinkedRole），才能自动创建或删除服务关联角色（AliyunServiceRoleForGwsLogDelivery）。因此，在RAM用户无法自动创建服务关联角色（AliyunServiceRoleForGwsLogDelivery）时，您需要为其添加以下权限策略。

说明

请将主账号ID替换为您实际的阿里云账号（主账号）ID。

{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:主账号ID:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "log-delivery.gws.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}