本文介紹日誌審計服務的常見問題及錯誤排查。
常見錯誤排查
錯誤類型 | 錯誤資訊 | 錯誤原因 | 解決方案 |
帳號配置 |
| 當前帳號為普通中心帳號,不支援使用資來源目錄配置多帳號採集。 只有中心帳號為資來源目錄的管理帳號或者委派管理員時,才可以使用資來源目錄配置多帳號採集。更多資訊,請參見採集多帳號雲產品日誌。 | 使用自訂鑒權管理員模式配置多帳號採集。更多資訊,請參見自訂鑒權管理員模式。 |
| 多帳號配置衝突。
| 如果您必須要將
| |
在中心帳號下添加新的成員帳號,出現EtlMetaAlreadyExist錯誤。 | 該成員帳號在成為當前中心帳號的成員帳號前,已是中心帳號或其他中心帳號下的成員帳號。而您沒有按照刪除審計資源步驟先停止全部雲產品日誌採集再刪除日誌審計相關Project,而是在雲產品日誌採集還開啟的情況下直接刪除審計服務相關的Project,導致系統無法判斷新的採集配置。 | 請提交工單,聯絡Log Service團隊。 | |
錯誤資訊:當前管理帳號已配置多帳號日誌採集,請先到SLS控制台日誌審計中刪除多帳號配置。錯誤碼為DeregisterDA.Deny.TrustedService。 | 如果在資來源目錄管理主控台,切換委派管理員出現這種報錯,說明在切換委派管理員之前沒有清除原有委派管理員下對應的日誌審計多帳號配置關係。 | 在切換委派管理員之前,請先清除當前委派管理員對應的中心帳號下的多帳號配置關係(如果是全員,需要切換至自訂,並取消全部帳號的選中),然後再進行委派管理員切換。 | |
許可權配置 |
| 成員帳號 | 重新設定sls-audit-service-monitor角色的許可權。具體操作,請參見自訂授權日誌採集與同步。 |
| 使用RAM使用者動作記錄審計服務,許可權不足。 | 為RAM使用者授權。具體操作,請參見授予RAM使用者動作記錄審計服務的許可權。 | |
Quota限制 |
| Quota超限報錯,因為Log Service基礎資源(Shard等)存在一定數量限制。更多資訊,請參見基礎資源使用限制。 | 如果遇到日誌審計服務下的Project出現ExceedQuota錯誤,請提交工單進行基礎資源擴容。 |
| 單帳號下Project總數超限報錯,因為Log Service基礎資源(Project、Shard等)存在一定數量限制。更多資訊,請參見基礎資源使用限制。 | 如果遇到日誌審計服務下的單帳號Project數量超限錯誤,請提交工單進行基礎資源擴容。 | |
審計資源 | 修改儲存時間時,系統提示 | 無 | 請在日誌審計服務的全域配置頁面,修改日誌儲存天數、熱儲存天數等。 |
刪除LogStore時,系統提示 | 因為日誌審計服務下的LogStore可能關聯內建儀錶盤、警示等,因此日誌審計服務下LogStore不支援單獨刪除。 |
| |
LogException{httpCode=-1 errorCode='DeleteFailed' message='delete auditJob error' requestId=''} | 僅部分地區支援中心Project。如果您通過其他方式設定了不合法的地區(例如西南1(成都)),則日誌審計服務會在該地區產生名為 說明 目前支援的地區如下:
| 通過命令列或API手動刪除這個錯誤的Project( | |
在日誌審計服務中無功能表列。 | 未開啟中心帳號下日誌審計服務的採集功能。 | 開啟中心帳號下日誌審計服務的採集功能。具體操作,請參見開啟和管理日誌採集功能。 |
常見問題
為什麼在關閉採集前修改日誌儲存天數不生效(例如您想要關閉SLB 7層訪問日誌的採集並將儲存天數修改為1天以清除存量日誌,但是修改後發現儲存天數仍為180天)?
在關閉採集前修改日誌儲存天數,您需要先儲存儲存天數的修改,然後執行關閉操作,否則修改不生效。操作步驟如下:
在日誌審計服務的全域配置頁面,單擊修改。
修改目標日誌對應的儲存天數,然後單擊儲存。
說明請確保在採集開啟的狀態下,儲存儲存天數的修改。儲存後,等待一分鐘,再執行下一步修改操作。
再一次單擊修改。
關閉目標日誌的採集,然後單擊儲存。
如何查看接入狀態?
在日誌審計服務的頁面中查看接入狀態。
顯示帳號沒有許可權或密鑰錯誤,怎麼處理?
請檢查帳號許可權是否配置正確。如果是同一帳號下的採集,請參見首次配置;如果是跨帳號採集,請參見自訂授權日誌採集與同步。例如帳號中的sls-audit-service-monitor角色沒有被授予系統策略下的ReadOnlyAccess策略。
帳號沒有開啟特定服務,怎麼處理?
一般是由於某個雲產品沒有開啟特定服務。更多資訊,請參見雲產品覆蓋及相關資源。例如已開通Security Center,但未開通日誌分析功能。
為什麼在
slsaudit-center-${uid}-${region}Project的警示中心頁面中看到的內建警示監控規則數量和在日誌審計服務的審計警示頁面中看到的內建警示監控規則數量不一致?在
slsaudit-center-${uid}-${region}Project中除了日誌審計服務相關的內建警示監控規則外,還存在資料加工等功能的內建警示監控規則。開啟過日誌採集的雲產品,其對應的警示監控規則才會在日誌審計服務的審計警示頁面中展示,而
slsaudit-center-${uid}-${region}Project的警示中心頁面中展示的內建警示監控規則無上述要求。因為不同地區以及中英文版本等原因,日誌審計服務的審計警示頁面中展示的內建警示監控規則數和
slsaudit-center-${uid}-${region}Project的警示中心頁面中展示的內建警示監控規則數可能存在差異。
為什麼在
slsaudit-center-${uid}-${region}Project的警示中心頁面中看到的警示策略、行動策略、內容範本等數量和在日誌審計服務的審計警示頁面中看到警示策略、行動策略、內容範本等數量不一致?日誌審計服務的審計警示頁面中只展示日誌審計服務相關的警示策略、行動策略、內容範本等警示條目,而
slsaudit-center-${uid}-${region}Project下可能存在其他關聯應用的警示條目,因此顯示數量不一致。為什麼在審計查詢頁面裡看不到RDS MySQL、PolarDB MySQL效能日誌?
審計查詢頁面中只展示日誌類型為log的查詢連結,而效能日誌為Metric類型。您可以在全域配置頁面中,單擊名為
slsaudit-center-${uid}-${region}的Project,然後在時序儲存頁面中查看RDS MySQL、PolarDB MySQL效能日誌。
在RAM中不小心刪除sls-audit-service-monitor角色或篡改了sls-audit-service-monitor角色的授權策略,從而造成日誌審計服務無法正常使用怎麼辦?
如果是中心帳號且該帳號在開通日誌審計服務時使用的是通過AccessKey方式建立的sls-audit-service-monitor角色,則此時您只需重新進入日誌審計服務的全域配置頁面,根據頁面提示,完成授權。具體操作,請參見首次配置。
說明現在日誌審計服務已升級為SLR(AliyunServiceRoleForSLSAudit)授權模式。原sls-audit-service-monitor角色依然適用(確保角色存在、權限原則配置正確)。為了避免誤刪、篡改,強烈建議升級為SLR授權模式。
如果是成員帳號,您可以在RAM控制台找到sls-audit-service-monitor角色(如果未找到,請建立),修改其權限原則。具體操作,請參見自訂授權日誌採集與同步。