本文將重點介紹如何基於阿里雲Log ServiceSLS匯入AWS CloudTrail日誌的具體操作步驟。
準備工作
重要 本文檔為阿里雲原創文檔,智慧財產權歸阿里雲所有,由於本文檔旨在介紹阿里雲與第三方產品互動的服務能力,因此可能會提及第三方公司或產品等名稱。
在匯入CloudTrail日誌到Log Service前,您需在CloudTrail上完成如下配置,使CloudTrail在寫入資料到S3後,S3能夠將訊息通知到SQS。
- 在CloudTrail中建立跟蹤。具體操作,請參見建立跟蹤。
- 在SQS中建立隊列。具體操作,請參見建立隊列。
- 在步驟1建立的跟蹤對應的S3 Bucket中,配置事件通知。具體操作,請參見S3配置事件通知。配置事件通知時,需選擇目的地為步驟2中建立的隊列。
說明 如果您使用的是IAM賬戶,則需授予該賬戶以下許可權。具體操作,請參見為IAM使用者建立權限原則。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sqs:ReceiveMessage",
"sqs:SendMessage",
"sqs:DeleteMessage",
"sqs:GetQueueAttributes",
"sqs:ListQueues",
"s3:GetObject",
"kms:Decrypt"
],
"Resource": "*"
}
]
}操作步驟
- 登入Log Service控制台。
- 在日誌應用地區的審計與安全頁簽中,單擊日誌分析 For AWS CloudTrail。
- 在接入管理頁面中,單擊添加。
- 在建立配置面板中,建立CloudTrail審計配置。
- 配置如下參數。
參數 說明 配置名稱 CloudTrail審計配置的名稱。 專案Project 用於管理CloudTrail審計應用相關資產的Project。 說明 目前僅支援華東1(杭州)、華北2(北京)、華北3(張家口)、華北6(烏蘭察布)、西南1(成都)、華南1(深圳)。AWS賬戶ID AWS賬戶ID。 AWS AccessKey ID 用於訪問AWS的AWS AccessKey ID。 重要 請確保您的AccessKey具有訪問AWS相應資源的許可權。AWS Secret AccessKey 用於訪問AWS的AWS Secret AccessKey。 AWS地區 SQS隊列所在地區。 SQS Queue URL SQS隊列標識。更多資訊,請參見隊列和訊息的標識。 SQS BatchSize SQS每次可拉取的最大訊息數。預設值:10,取值範圍:1~10。 匯入間隔 匯入資料任務的調度間隔。預設值:3,取值範圍:1~43200,單位:分鐘。 並發任務數 執行匯入資料任務的並發數。預設值:1,範圍:1~20。 說明 資料量較大時,可以調高該參數。 - 單擊預覽。說明 如果預覽失敗,您需要根據錯誤資訊排查配置。預覽結果顯示success後,才能進行下一步。
- 單擊確定。
- 配置如下參數。
相關操作
您還可以在接入管理頁簽中,執行如下操作。
| 操作 | 說明 |
| 查看審計日誌 | 單擊目標配置對應的查看審計日誌,系統將跳轉至對應的Logstore中。您可以在Logstore中查看對應的原始日誌,並執行查詢分析操作。具體操作,請參見查詢和分析日誌。 |
| 查看報表 | 單擊目標配置對應的查看報表,系統將跳轉至對應的儀錶盤頁面,並展示各類審計儀錶盤。 |
| 修改資料儲存時間 | 找到目標配置對應的資料儲存時間,單擊 表徵圖,修改目標Logstore中資料的儲存時間。 |
| 修改配置 | 單擊目標配置對應的修改,您可以修改配置的名稱、對應的Project等參數。 |
| 刪除配置 | 如果您不再使用此配置,可單擊目標配置對應的刪除。 重要
|