为了集中管理和分析来自不同地域和多个账户的云安全中心日志,您可以使用日志服务的新版日志审计服务功能,将这些日志采集到同一个 Project 中。
工作原理
当您开通云安全中心日志分析功能后,安全中心日志数据默认存储在 Project(名称为sas-log-${阿里云账号ID}-${地域ID})和 Logstore(名称为sas-log)。您可以使用日志服务的新版日志审计服务功能将不同地域、多账号的云安全中心日志采集到日志服务的同一个 Project。
前提条件
登录云安全中心控制台,开通云安全中心日志。如未开通,请参见开通日志分析。
多个云账号采集,需要开通资源目录。同时使用管理账号登录资源管理控制台添加委派管理员账号。如何添加委派管理员,请参见管理委派管理员账号。
1. 关联Project
云安全中心的日志会被汇总到您关联的Project中。
登录日志服务控制台。在日志应用区域的审计与安全页签,单击新版日志审计服务。
在新版日志审计服务页面,单击关联Project,在对话框中配置Project,然后单击确定关联。
2. 创建采集规则
2.1 配置采集规则
在新版日志审计服务的页面,单击目标Project的名称。
在规则列表页签,单击创建采集规则,根据下图配置,例如将资源目录下的2个账号的杭州和新加坡地域的云安全中心日志中心化转投到目标
a-multi-accounts-security-log-center下的central-sas-log中。采集规则参数的详细说明,请参见云产品配置注意事项。
2.2 验证采集结果
在规则列表页签,单击刚创建的采集规则的名称。
在查询分析页面,使用查询语法对日志进行查询和分析。云安全中心日志的类别和字段说明,请参见日志类别及字段说明。
相关文档
如果使用RAM用户操作新版日志审计服务,需要使用阿里云主账号为RAM用户授予相应权限,具体步骤请参见为RAM用户授权使用新版日志审计服务。
查看、创建、修改、删除日志审计规则的操作步骤,请参见管理新版日志审计服务规则。
本文以云安全中心日志为例,其他云产品的日志类型、默认Project名称、默认Logstore名称、日志计费等信息请参见云产品配置注意事项。