本文介紹日志應用相關的使用限制。

日志審計服務

  • 存儲方式與地域限制
    重要 使用日志審計服務進行日志區域化存儲或中心化存儲前,請合理評估存儲地域是否滿足相關法律法規和安全監管的要求。
    • 中心化存儲
      從各個阿里云賬號、各個地域采集到的日志,會存儲到中心賬號下的一個中心Project中,目前中心化存儲可供選擇的地域如下所示。
      說明 當您切換中心賬號所在地域時,日志服務為您創建一個新的中心Project,原Project不會被刪除。
      • 中國:華北1(青島)、華北2(北京)、華北5(呼和浩特)、華東1(杭州)、華東2(上海)、華南1(深圳)、中國(香港)
      • 海外:新加坡、日本(東京)、德國(法蘭克福)、印度尼西亞(雅加達)
    • 區域化存儲

      針對SLB、ALB、OSS、PolarDB-X 1.0、VPC和DNS,日志審計服務支持將各個主賬號采集到的日志存儲到中心主賬號下的各個與SLB、ALB、OSS、PolarDB-X 1.0和VPC實例處于相同地域的日志服務Project中(例如:杭州的OSS訪問日志,存儲到杭州的日志服務Project中)。

    • 同步到中心

      針對SLB、ALB、OSS、PolarDB-X 1.0、VPC和DNS的區域化存儲,支持將各個地域的Logstore同步到一個中心化的Logstore中,以便做中心化查詢、分析、告警、可視化、二次開發等。

      同步機制依賴日志服務數據加工。

  • 資源限制
    • 中心主賬號下對應的中心化Project只有一個,名為slsaudit-center-中心化主賬號ID-配置的地域,例如:slsaudit-center-117938634953****-cn-beijing。無法通過控制臺刪除中心化Project,只能通過命令行、API刪除。
    • 針對SLB、ALB、OSS、PolarDB-X 1.0、VPC和DNS,可以有多個區域化Project,名為slsaudit-region-中心化主賬號ID-各個采集的地域,例如:slsaudit-region-117938634953****-cn-beijing。無法通過控制臺刪除區域化Project,只能通過命令行、API刪除。
    • 配置云產品日志采集后,日志審計服務會創建專屬Logstore,具備日志服務Logstore所有的功能,除以下操作限制。
      • 保護數據不被篡改,您無法自行寫入數據,修改或刪除索引。
      • 只能通過日志審計服務的配置頁面或接口修改存儲周期、刪除Logstore。
      • 針對SLB、ALB、OSS、PolarDB-X 1.0、VPC和DNS,如果開啟了同步到中心功能,在對應的區域化Project中,會生成數據加工任務。
        • 數據加工任務名為Internal Job: SLS Audit Service Data Sync for OSS Access、Internal Job: SLS Audit Service Data Sync for SLB、Internal Job: SLS Audit Service Data Sync for ALB、Internal Job: SLS Audit Service Data Sync for DRDS、Internal Job: SLS Audit Service Data Sync for VPC、Internal Job: SLS Audit Service Data Sync for DNS。
        • 您只能通過日志審計服務的配置頁面或接口關閉該數據加工任務。
        • 開啟了同步到中心功能的區域化Logstore會同步為專屬的Logstore,您無法進行任何操作,如果需要進行查詢等操作時,可以直接在中心化Logstore中操作。
  • 權限限制
    通過日志審計服務采集Kubernetes日志(Kubernetes審計日志、Kubernetes事件中心、Ingress訪問日志)時,您需要了解如下權限限制。
    • 日志審計服務僅支持采集中心賬號下的Kubernetes日志,不支持采集多賬號配置中的其他阿里云賬號下的Kubernetes日志。
    • 日志審計服務采集Kubernetes日志依賴數據加工功能。如果您通過日志審計服務采集Kubernetes日志,則中心賬號需完成如下授權。
      說明項中心賬號未升級中心賬號已升級
      當前中心賬號角色sls-audit-service-monitorAliyunServiceRoleForSLSAudit
      額外授權sls-audit-service-monitor角色需具備AliyunLogAuditServiceMonitorAccess權限和如下自定義權限(AliyunLogAuditServiceK8sAccess)。
      {
          "Version": "1",
          "Statement": [
              {
                  "Action": "log:*",
                  "Resource": [
                      "acs:log:*:*:project/k8s-log-*"
                  ],
                  "Effect": "Allow"
              }
          ]
      }
      只需具備AliyunServiceRoleForSLSAudit角色權限,無需額外授權。
  • 存儲天數聯動說明
    • 日志審計服務中的RDS審計日志、慢日志和錯誤日志都存儲在同一個Logstore(rds_log)中,如果同時開啟采集且設置的存儲天數不同,則日志存儲天數為開通者的中心化存儲天數的最大值。
    • 日志審計服務中的PolarDB MySQL審計日志、慢日志和錯誤日志都存儲在同一個Logstore(polardb_log)中,如果同時開啟采集且設置的存儲天數不同,則日志存儲天數為開通者的中心化存儲天數的最大值。
    • 日志審計服務中的云防火墻的互聯網邊界防火墻流量日志、VPC邊界防火墻流量日志都存儲在同一個Logstore(cloudfirewall_log)中,如果同時開啟采集且設置的存儲天數不同,則日志存儲天數為開通者的中心化存儲天數的最大值。
    • 日志審計服務中的DDoS高防(新BGP)訪問日志、DDoS高防(國際)訪問日志、DDoS原生防護訪問日志都存儲在同一個Logstore(ddos_log)中,如果同時開啟采集且設置的存儲天數不同,則日志存儲天數為開通者的中心化存儲天數的最大值。
    • 日志審計服務中的K8s審計日志、K8s事件中心都存儲在同一個Logstore(k8s_log)中,如果同時開啟采集且存儲天數不同,則日志存儲天數為開通者的中心化存儲天數的最大值。
    • 日志審計服務中的IDaaS應用身份服務管理操作日志、應用身份服務用戶行為日志都存儲在同一個Logstore(idaas_log)中,如果同時開啟采集且存儲天數不同,則日志存儲天數為開通者的中心化存儲天數的最大值。
    • 日志審計服務中的配置審計變更日志、配置審計資源不合規日志都存儲在同一個Logstore(cloudconfig_log)中,如果同時開啟采集且存儲天數不同,則日志存儲天數為開通者的中心化存儲天數的最大值。
    說明 針對上述存儲天數存在聯動的日志類型,如果同時開啟日志采集及智能冷熱分層存儲功能,則熱存儲天數為開通者的熱存儲天數的最大值;如果開啟了日志采集但沒有同時開啟智能冷熱分層存儲功能,則默認關閉智能冷熱分層存儲功能。

    例如您開啟了RDS審計日志和錯誤日志的采集,如果同時開啟了兩者的冷熱分層存儲功能,則熱存儲天數為二者中的最大值;如果您只開啟RDS審計日志的冷熱分層存儲功能,沒有開啟RDS錯誤日志的冷熱分層存儲功能,則默認關閉其所在Logstore(rds_log)的冷熱分層存儲功能。

  • 配置審計
    • 日志審計服務依賴配置審計服務提供的配置類信息,您需在配置審計控制臺開通配置審計服務,并開啟全部資源的監控范圍。
    • 如果您需要在日志審計服務中采集、存儲或查詢配置審計日志,您需同意授權日志服務提取您在配置審計中記錄的日志。授權后,您的配置審計日志將被自動推送到日志服務中。
    • 如果您通過資源目錄管理模式進行多賬號采集,在中心賬號授權后日志審計服務將會自動對資源目錄配置的賬號開通配置審計并集成日志服務;如果您通過自定義鑒權管理模式進行多賬號采集,在中心賬號授權后,其他成員賬號還需進行額外的授權。具體操作,請參見自定義授權日志采集與同步
  • 冷熱分層存儲
    日志審計服務的專屬Logstore支持冷熱分層存儲功能。相對熱存儲而言,冷存儲成本更低,其數據的查詢與分析性能有所降低,其余功能(例如告警、可視化、加工、投遞等)不受影響。更多信息,請參見開啟智能存儲分層
    說明 目前已支持智能冷熱分層存儲的審計中心區域為華北1(青島)、華北2(北京)、華北5(呼和浩特)、華東1(杭州)、華東2(上海)、華南1(深圳)、中國(香港)和新加坡。

    您可以在日志審計服務的全局配置頁面開啟冷熱分層存儲,其中熱存儲時間必須大于等于7天且不能超過當前存儲天數。例如當前中心化存儲時間為180天,開啟30天熱存儲,則日志將在保存30天之后轉為冷存儲。

  • 數據加密

    日志審計服務支持通過日志服務自帶的服務密鑰加密,而非通過用戶自帶密鑰(BYOK)加密。日志服務自帶密鑰的加密方式支持AES算法(默認)和國密算法SM4。更多信息,請參見數據加密

    開啟日志加密后,日志服務將自動對當前已開啟采集的云產品專屬Logstore進行加密,包括中心化Project和區域化Project下的云產品專屬Logstore。具體操作,請參見開啟加密

  • 索引限制

    日志審計服務支持自動更新索引或手動修改索引。具體操作,請參見自動更新索引

    修改索引時,如果系統提示該日志庫是SLS應用日志審計專屬庫,不支持修改索引屬性、關閉索引,請在日志審計服務的全局配置頁面,單擊修改,然后單擊確定,重建日志審計服務配置。

    重要 手動修改索引可能導致內置儀表盤、內置告警等不可用,請謹慎使用。