當您需要將資源的配置變更歷史、不合規事件、合規快照和資源定時快照投遞到日志服務SLS的指定日志庫時,需要設置日志項目(Project)和日志庫(Logstore)。資源數據投遞到指定日志庫后,您可以查詢和分析日志。
前提條件
背景信息
如果您不想日志服務SLS產生費用,則可以在日志服務SLS控制臺刪除日志項目。刪除日志項目后,配置審計中的投遞任務失效,資源數據將不再投遞。具體操作,請參見刪除項目Project。
操作步驟
登錄配置審計控制臺。
(可選)在左上角選擇目標賬號組。
僅資源目錄下的管理賬號需要執行該操作。單個阿里云賬號不涉及。
在左側導航欄,單擊。
在投遞頁面,單擊左上角的新建投遞。
在新建投遞頁面,先輸入投遞名稱,再選擇渠道類型為日志服務SLS,然后設置日志服務SLS的相關參數。
資源投遞數據的相關參數如下表所示。
配置變更歷史:當資源配置變更時,配置審計向日志服務SLS投遞資源配置變更歷史。
資源不合規事件:當資源的審計結果不合規時,配置審計向日志服務SLS投遞資源不合規事件。
資源定時快照:默認每天00:00:00和12:00:00,配置審計定時向日志服務SLS投遞資源定時快照。
合規快照:默認每天00:00:00和12:00:00,配置審計定時向日志服務SLS投遞合規快照。
本賬號中新建日志項目:通過配置審計控制臺選擇日志項目歸屬地域,并新建日志項目和日志庫。同一賬號同一地域下,日志項目名稱和日志庫名稱都不能重復。
說明通過配置審計新建的日志庫,不包含任何預置的索引。如果您需要分析投遞數據,則需要在日志服務控制臺為該日志庫開啟索引。具體操作,請參見創建索引。
選擇本賬號中已有的日志項目:在日志服務SLS中選擇已有地域、日志項目和日志庫。
說明請確保您選擇的日志庫為空或日志庫已有數據與待投遞數據保持一致,否則數據投遞到日志庫后將無法查詢分析。
選擇其他賬號已有的日志項目(僅支持管理賬號或委派管理賬號):目標賬號中日志庫的ARN,包括:地域、成員、日志項目名稱和日志庫名稱。
您可以設置將自己和資源目錄中所有成員的資源數據,統一投遞到指定成員的日志庫中。成員無權設置資源數據投遞,只能按照管理賬號的設置進行投遞。
說明如果管理賬號設置了配置審計的委派管理員賬號,該賬號可代替管理賬號設置資源數據投遞。關于如何添加配置審計的委派管理員賬號,請參見添加委派管理員賬號。
如果您設置了該參數,當配置審計向日志服務SLS投遞的文件超過1 MB時,該文件自動轉存到對象存儲OSS的目標存儲空間。
如果您未設置該參數,當配置審計向日志服務SLS投遞的文件超過1 MB時,直接丟棄,不進行投遞。
參數
描述
接收內容
選擇日志服務SLS接收的資源投遞內容。取值:
說明如果您設置了每日投遞時間,則按照該時間投遞資源數據。
日志項目來源
日志服務SLS中日志項目的來源。取值:
指定資源類型事件
待投遞資源數據的資源類型。關于配置審計支持的資源類型,請參見配置審計支持的資源類型和資源關系。
每日投遞時間
資源定時快照和/或合規快照的每日投遞時間。
說明如果您不設置該參數,則默認每天00:00:00和12:00:00投遞資源數據。
大文件接收地址
配置審計向日志服務SLS投遞的大文件接收地址。
單擊確認。
(可選)在確認操作對話框,單擊確定。
僅資源目錄下的管理賬號需要執行該操作。單個阿里云賬號不涉及。
說明新建的投遞僅在當前賬號組內的所有成員中生效。
后續步驟
查看資源數據的投遞結果,并對其進行查詢和分析。
在投遞頁面,單擊新建的投遞ID。
在目標投遞的擴展信息區域,單擊日志庫名稱,系統自動跳轉到日志服務SLS控制臺的目標日志庫頁面。
在錯誤對話框,單擊關閉。
說明通過配置審計控制臺新建的日志庫默認未開啟索引,會報錯。
開啟日志庫的索引。
具體操作,請參見創建索引。
查詢并分析日志庫中的日志。
具體操作,請參見查詢和分析日志。
說明關于JSON格式文件的內容示例,請參見資源配置變更歷史內容示例、資源不合規事件內容示例和資源定時快照內容示例。