日志审计（新版）

• 云产品覆盖范围：日志审计覆盖阿里云许多主流云产品及其日志类型，当前日志审计支持接入存储类（SLS、OSS）、网络类（CLB、ALB、VPC、DNS）、数据库类（RDS、PolarDB）、安全类（云安全中心、云防火墙、Web 应用防火墙、DDoS 防护）、审计类（操作审计、配置审计）等云产品及相关日志类型。

• 日志自动化采集：日志审计支持自动化采集用户日志。一方面，一旦云产品接入新版日志审计服务，新增日志将自动写入存储的目标Logstore中；另一方面，如果云账号下有实例新增或属性变更，云产品的日志会根据用户配置的采集规则进行自动化采集与写入。

• 采集规则可编排：日志审计支持三种资源选择模式对云产品资源进行过滤：全部资源、按照实例模式过滤资源、按照属性模式过滤资源，用户可以根据实际需求选择。

• 数据跨区域汇总：日志审计通过数据加工功能实现日志数据的跨地域汇总，日志服务会自动创建数据加工任务，这些任务根据用户的日志默认投递目标库和采集规则配置的中心化目标库的投递关系创建。

• 支持多日志中心：日志只需接入一次，即可根据规则配置，通过数据加工汇总到各个日志项目或日志库中。例如，用户可以将北京、杭州地域的日志汇总到上海中心，将马来西亚、印度尼西亚地域的日志汇总到新加坡中心。

• 支持资源目录多账号功能：管理员或委派管理员可以通过配置多账号采集，将成员账号的所有日志汇总。

• 运行时日志采集：日志审计支持将开源Agent（Tetragon、Falco）采集的运行时日志通过Logtail采集到日志库中。

• 采集Systemd Journal日志：日志审计支持使用Logtail采集Systemd Journal日志，支持以容器方式采集宿主机上的Journal日志。适用于Docker、Kubernetes场景。

1. 云产品的日志首先存储在各自的默认Logstore中，这些日志包括云产品的操作信息、运行状态等。

   • 云产品日志及对应的Logstore名称，请参见云产品采集注意事项。

   • 对于每个云产品实例，如果命中多个采集规则，只要有一个采集规则匹配，该实例日志就会被采集到默认Logstore中。

2. 日志审计自动创建数据加工任务，将默认Logstore的日志汇总到用户关联的Project中。

   • 云产品日志类型由用户配置的日志审计采集规则决定。

   • 日志审计会自动检测用户云账号下各个地域的云产品实例新增或变更，并同步到日志审计采集规则中。

3. 如果资源目录的管理员账号或委派管理员账号，配置了多账号配置的日志采集规则，云产品日志将会首先被采集到成员账号云产品默认投递目标库下，然后通过自动创建的数据加工作业，汇总到管理员账号或委派管理者账号中心日志库中。

   • 采集规则1：按照地域属性进行采集，将华东1（杭州）和华南1（深圳）地域的云产品日志投递到中心化Logstore（xxx_log_center）中，该Logstore属于中心化Project（center-A-cn-shanghai）。

   • 采集规则2：按照地域属性进行采集，将新加坡地域的云产品日志投递到中心化Logstore（xxx_log_center）中，该Logstore属于中心化Project（center-A-ap-southeast-1）。

Docker、Kubernetes场景下使用Tetragon、Falco收集容器运行日志到目录文件、标准输出中，然后通过Logtail将容器运行时日志投递到日志服务的日志库。