本文介绍日志审计服务的常见问题及错误排查。

常见错误排查

错误类型错误信息错误原因解决方法
账号配置LogException{httpCode=-1 errorCode='IllegalResourceDirectoryAccounts' errorMessage='IllegalResourceDirectoryAccounts: account not ResourceDirectory master or admin user' requestId=''当前账号为普通中心账号,不支持使用资源目录配置多账号采集。

只有中心账号为资源目录的管理账号或者委派管理员时,才可以使用资源目录配置多账号采集。更多信息,请参见配置多账号采集

使用自定义鉴权管理模式配置多账号采集。更多信息,请参见自定义鉴权管理模式
LogException{httpCode=-1 errorCode='IllegalAction.MultiAccountsIllegal' errorMessage='IllegalAction: the multi_account: 1234567*** may be already configured by other central account or contain central account' requestId=''}多账号配置冲突。
  • 如果账号A已经作为中心账号开通过日志审计服务,则中心账号A不能再通过多账号配置成为中心账号C的成员账号。
  • 如果账号A已经是中心账号B的成员账号,则账号A不能再成为中心账号C的成员账号。
如果您必须要将1234567***配置为当前中心账号下的成员账号,可参见如下方法。
  • 如果1234567***是中心账号,则先删除中心账号1234567***下的所有审计资源。具体操作,请参见删除日志审计资源
  • 如果1234567***是其他中心账号下的成员账号,则需先删除其他中心账号下关于1234567***账号的多账号采集配置。
在中心账号下添加新的成员账号,出现EtlMetaAlreadyExist错误。该成员账号在成为当前中心账号的成员账号前,已是中心账号或其他中心账号下的成员账号。而您没有按照删除审计资源步骤先停止全部云产品日志采集再删除日志审计相关Project,而是在云产品日志采集还开启的情况下直接删除审计服务相关的Project,导致系统无法判断新的采集配置。请提交工单,联系日志服务团队。
错误信息:当前管理账号已配置多账号日志采集,请先到SLS控制台日志审计中删除多账号配置。错误码为DeregisterDA.Deny.TrustedService。如果在资源目录管理控制台,切换委派管理员出现这种报错,说明在切换委派管理员之前没有清除原有委派管理员下对应的日志审计多账号配置关系。在切换委派管理员之前,请先清除当前委派管理员对应的中心账号下的多账号配置关系(如果是全员,需要切换至自定义,并取消全部账号的选中),然后再进行委派管理员切换。
权限配置The role not exists: acs:ram::123456******:role/sls-audit-service-monitor. 成员账号123456******下的sls-audit-service-monitor角色的权限被删除或篡改。重新配置sls-audit-service-monitor角色的权限。具体操作,请参见自定义授权日志采集与同步
Permission denied, action: log:CreateApp,resource: app/auditPermission denied, action: log:GetApp,resource: app/audit使用RAM用户操作日志审计服务,权限不足。为RAM用户授权。具体操作,请参见授予RAM用户操作日志审计服务的权限
Quota限制init_sls_assets failed because of ServerException [HTTP Status: 400 Error:DashboardError LogException{httpCode=403 errorCode='ExceedQuota' requestId='622854*********'}Quota超限报错,因为日志服务基础资源(Shard等)存在一定数量限制。更多信息,请参见基础资源如果遇到日志审计服务下的Project出现ExceedQuota错误,请提交工单进行基础资源扩容。
init_sls_assets failed because of ServerException [HTTP Status: 400 Error:CreateProjectFailed Account 123456***** most has 50 project单账号下Project总数超限报错,因为日志服务基础资源(Project、Shard等)存在一定数量限制。更多信息,请参见基础资源如果遇到日志审计服务下的单账号Project数量超限错误,请提交工单进行基础资源扩容。
审计资源修改存储时间时,系统提示该日志库是SLS应用日志审计专属库,对其属性修改如调整存储时间,请到日志审计全局配置界面请在日志审计服务的全局配置页面,修改日志存储天数、热存储天数等。
删除Logstore时,系统提示指定操作未授权因为日志审计服务下的Logstore可能关联内置仪表盘、告警等,因此日志审计服务下Logstore不支持单独删除。
  • 如果您是要删除Logstore中的日志,您可以在日志审计服务的全局配置页面中,将当前Logstore存储天数调整为最小并保存后,再关闭云产品采集。存量日志将会在达到天数期限后被删除。
  • 如果您必须删除该Logstore,则可通过删除Project的方式。具体操作,请参见删除审计资源
LogException{httpCode=-1 errorCode='DeleteFailed' message='delete auditJob error' requestId=''}仅部分地域支持中心Project。如果您通过其他方式设置了不合法的地域(例如西南1(成都)),则日志审计服务会在该地域生成名为slsaudit-center-${uid}-${Region}的Project,实际整个日志审计服务不会生效,且当您切换回支持的地域时,无法切换成功。
说明 目前支持的地域如下:
  • 中国:华北1(青岛)、华北2(北京)、华北5(呼和浩特)、华东1(杭州)、华东2(上海)、华南1(深圳)、中国(香港)
  • 海外:新加坡、日本(东京)、德国(法兰克福)、印度尼西亚(雅加达)
通过命令行或API手动删除这个错误的Project(slsaudit-center-${uid}-${Region}),然后选择正确的中心地域。如何删除Project,请参见相关操作
在日志审计服务中无多账号配置 > 全局配置菜单栏。未开启中心账号下日志审计服务的采集功能。开启中心账号下日志审计服务的采集功能。具体操作,请参见开启日志采集功能

常见问题

  • 为什么在关闭采集前修改日志存储天数不生效(例如您想要关闭SLB 7层访问日志的采集并将存储天数修改为1天以清除存量日志,但是修改后发现存储天数仍为180天)?

    在关闭采集前修改日志存储天数,您需要先保存存储天数的修改,然后执行关闭操作,否则修改不生效。操作步骤如下:

    1. 在日志审计服务的全局配置页面,单击修改
    2. 修改目标日志对应的存储天数,然后单击保存
      说明 请确保在采集开启的状态下,保存存储天数的修改。保存后,等待一分钟,再执行下一步修改操作。
    3. 再一次单击修改
    4. 关闭目标日志的采集,然后单击保存
  • 如何查看接入状态?

    在日志审计服务的云产品接入 > 接入状态页面中查看接入状态。

  • 显示账号没有权限或密钥错误,怎么处理?

    请检查账号权限是否配置正确。如果是同一账号下的采集,请参见首次配置;如果是跨账号采集,请参见自定义授权日志采集与同步。例如账号中的sls-audit-service-monitor角色没有被授予系统策略下的ReadOnlyAccess策略。

  • 账号没有开启特定服务,怎么处理?

    一般是由于某个云产品没有开启特定服务。更多信息,请参见云产品覆盖及相关资源。例如已开通云安全中心,但未开通日志分析功能。

  • 为什么在slsaudit-center-${uid}-${region} Project的告警中心页面中看到的内置告警监控规则数量和在日志审计服务的审计告警页面中看到的内置告警监控规则数量不一致?
    • slsaudit-center-${uid}-${region} Project中除了日志审计服务相关的内置告警监控规则外,还存在数据加工等功能的内置告警监控规则。
    • 开启过日志采集的云产品,其对应的告警监控规则才会在日志审计服务的审计告警页面中展示,而slsaudit-center-${uid}-${region} Project的告警中心页面中展示的内置告警监控规则无上述要求。
    • 因为不同地域以及中英文版本等原因,日志审计服务的审计告警页面中展示的内置告警监控规则数和slsaudit-center-${uid}-${region} Project的告警中心页面中展示的内置告警监控规则数可能存在差异。
  • 为什么在slsaudit-center-${uid}-${region} Project的告警中心页面中看到的告警策略、行动策略、内容模板等数量和在日志审计服务的审计告警页面中看到告警策略、行动策略、内容模板等数量不一致?

    日志审计服务的审计告警页面中只展示日志审计服务相关的告警策略、行动策略、内容模板等告警条目,而slsaudit-center-${uid}-${region} Project下可能存在其他关联应用的告警条目,因此显示数量不一致。

  • 为什么在审计查询页面里看不到RDS MySQL、PolarDB MySQL性能日志?
    审计查询页面中只展示日志类型为log的查询链接,而性能日志为Metric类型。您可以在全局配置页面中,单击名为slsaudit-center-${uid}-${region}的Project,然后在时序存储页面中查看RDS MySQL、PolarDB MySQL性能日志。日志审计服务
  • 在RAM中不小心删除sls-audit-service-monitor角色或篡改了sls-audit-service-monitor角色的授权策略,从而造成日志审计服务无法正常使用怎么办?
    • 如果是中心账号且该账号在开通日志审计服务时使用的是通过AccessKey方式创建的sls-audit-service-monitor角色,则此时您只需重新进入日志审计服务的全局配置页面,根据页面提示,完成授权。具体操作,请参见首次配置
      说明 现在日志审计服务已升级为SLR(AliyunServiceRoleForSLSAudit)授权模式。原sls-audit-service-monitor角色依然适用(确保角色存在、权限策略配置正确)。为了避免误删、篡改,强烈建议升级为SLR授权模式。
    • 如果是成员账号,您可以在RAM控制台找到sls-audit-service-monitor角色(如果未找到,请创建),修改其权限策略。具体操作,请参见自定义授权日志采集与同步