本文将重点介绍如何基于阿里云日志服务SLS导入AWS CloudTrail日志的具体操作步骤。
准备工作
重要 本文档为阿里云原创文档,知识产权归阿里云所有,由于本文档旨在介绍阿里云与第三方产品交互的服务能力,因此可能会提及第三方公司或产品等名称。
在导入CloudTrail日志到日志服务前,您需在CloudTrail上完成如下配置,使CloudTrail在写入数据到S3后,S3能够将消息通知到SQS。
- 在CloudTrail中创建跟踪。具体操作,请参见创建跟踪。
- 在SQS中创建队列。具体操作,请参见创建队列。
- 在步骤1创建的跟踪对应的S3 Bucket中,配置事件通知。具体操作,请参见S3配置事件通知。配置事件通知时,需选择目的地为步骤2中创建的队列。
说明 如果您使用的是IAM账户,则需授予该账户以下权限。具体操作,请参见为IAM用户创建权限策略。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sqs:ReceiveMessage",
"sqs:SendMessage",
"sqs:DeleteMessage",
"sqs:GetQueueAttributes",
"sqs:ListQueues",
"s3:GetObject",
"kms:Decrypt"
],
"Resource": "*"
}
]
}操作步骤
- 登录日志服务控制台。
- 在日志应用区域的审计与安全页签中,单击日志分析 For AWS CloudTrail。
- 在接入管理页面中,单击添加。
- 在创建配置面板中,创建CloudTrail审计配置。
- 配置如下参数。
参数 说明 配置名称 CloudTrail审计配置的名称。 项目Project 用于管理CloudTrail审计应用相关资产的Project。
说明 目前仅支持华东1(杭州)、华北2(北京)、华北3(张家口)、华北6(乌兰察布)、西南1(成都)、华南1(深圳)。AWS账户ID AWS账户ID。 AWS AccessKey ID 用于访问AWS的AWS AccessKey ID。
重要 请确保您的AccessKey具有访问AWS相应资源的权限。AWS Secret AccessKey 用于访问AWS的AWS Secret AccessKey。 AWS区域 SQS队列所在地域。 SQS Queue URL SQS队列标识。更多信息,请参见队列和消息的标识。 SQS BatchSize SQS每次可拉取的最大消息数。默认值:10,取值范围:1~10。 导入间隔 导入数据任务的调度间隔。默认值:3,取值范围:1~43200,单位:分钟。 并发任务数 执行导入数据任务的并发数。默认值:1,范围:1~20。
说明 数据量较大时,可以调高该参数。 - 单击预览。
说明 如果预览失败,您需要根据错误信息排查配置。预览结果显示success后,才能进行下一步。 - 单击确定。
- 配置如下参数。
相关操作
您还可以在接入管理页签中,执行如下操作。
| 操作 | 说明 |
|---|---|
| 查看审计日志 | 单击目标配置对应的查看审计日志,系统将跳转至对应的Logstore中。您可以在Logstore中查看对应的原始日志,并执行查询分析操作。具体操作,请参见查询和分析日志。 |
| 查看报表 | 单击目标配置对应的查看报表,系统将跳转至对应的仪表盘页面,并展示各类审计仪表盘。 |
| 修改数据保存时间 | 找到目标配置对应的数据保存时间,单击  图标,修改目标Logstore中数据的保存时间。
|
| 修改配置 | 单击目标配置对应的修改,您可以修改配置的名称、对应的Project等参数。 |
| 删除配置 | 如果您不再使用此配置,可单击目标配置对应的删除。
|
内容没看懂? 不太想学习?想快速解决? 有偿解决: 联系专家
阿里云企业补贴进行中: 马上申请
腾讯云限时活动1折起,即将结束: 马上收藏
同尘科技为腾讯云授权服务中心。
购买腾讯云产品享受折上折,更有现金返利:同意关联,立享优惠
转转请注明出处:https://www.yunxiaoer.com/165556.html