本文将重点介绍如何基于阿里云日志服务SLS导入AWS CloudTrail日志的具体操作步骤。

准备工作

重要 本文档为阿里云原创文档,知识产权归阿里云所有,由于本文档旨在介绍阿里云与第三方产品交互的服务能力,因此可能会提及第三方公司或产品等名称。

在导入CloudTrail日志到日志服务前,您需在CloudTrail上完成如下配置,使CloudTrail在写入数据到S3后,S3能够将消息通知到SQS。

  1. 在CloudTrail中创建跟踪。具体操作,请参见创建跟踪
  2. 在SQS中创建队列。具体操作,请参见创建队列
  3. 在步骤1创建的跟踪对应的S3 Bucket中,配置事件通知。具体操作,请参见S3配置事件通知
    配置事件通知时,需选择目的地为步骤2中创建的队列。
说明 如果您使用的是IAM账户,则需授予该账户以下权限。具体操作,请参见为IAM用户创建权限策略
{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "sqs:ReceiveMessage",
        "sqs:SendMessage",
        "sqs:DeleteMessage",
        "sqs:GetQueueAttributes",
        "sqs:ListQueues",
        "s3:GetObject",
        "kms:Decrypt"
      ],
      "Resource": "*"
    }
  ]
}

操作步骤

  1. 登录日志服务控制台
  2. 日志应用区域的审计与安全页签中,单击日志分析 For AWS CloudTrail
  3. 接入管理页面中,单击添加
  4. 创建配置面板中,创建CloudTrail审计配置。
    1. 配置如下参数。
      参数 说明
      配置名称 CloudTrail审计配置的名称。
      项目Project 用于管理CloudTrail审计应用相关资产的Project。
      说明 目前仅支持华东1(杭州)、华北2(北京)、华北3(张家口)、华北6(乌兰察布)、西南1(成都)、华南1(深圳)。
      AWS账户ID AWS账户ID。
      AWS AccessKey ID 用于访问AWS的AWS AccessKey ID。
      重要 请确保您的AccessKey具有访问AWS相应资源的权限。
      AWS Secret AccessKey 用于访问AWS的AWS Secret AccessKey。
      AWS区域 SQS队列所在地域。
      SQS Queue URL SQS队列标识。更多信息,请参见队列和消息的标识
      SQS BatchSize SQS每次可拉取的最大消息数。默认值:10,取值范围:1~10。
      导入间隔 导入数据任务的调度间隔。默认值:3,取值范围:1~43200,单位:分钟。
      并发任务数 执行导入数据任务的并发数。默认值:1,范围:1~20。
      说明 数据量较大时,可以调高该参数。
    2. 单击预览
      说明 如果预览失败,您需要根据错误信息排查配置。预览结果显示success后,才能进行下一步。
    3. 单击确定

相关操作

您还可以在接入管理页签中,执行如下操作。
操作 说明
查看审计日志 单击目标配置对应的查看审计日志,系统将跳转至对应的Logstore中。您可以在Logstore中查看对应的原始日志,并执行查询分析操作。具体操作,请参见查询和分析日志
查看报表 单击目标配置对应的查看报表,系统将跳转至对应的仪表盘页面,并展示各类审计仪表盘。
修改数据保存时间 找到目标配置对应的数据保存时间,单击修改保存时间图标,修改目标Logstore中数据的保存时间。
修改配置 单击目标配置对应的修改,您可以修改配置的名称、对应的Project等参数。
删除配置 如果您不再使用此配置,可单击目标配置对应的删除
重要
  • 删除配置不会同步删除已经创建的Logstore,只是删除导入数据任务。
  • 已经导入Logstore的数据会一直保存,直到过期。
  • 删除配置后,不可恢复,请谨慎操作。