操作审计最佳实践-跨账号日志收集

本文涉及的产品
对象存储 OSS,20GB 3个月
日志服务 SLS,月写入数据量 50GB 1个月
对象存储 OSS,内容安全 1000次 1年
简介: 此文档为您介绍,当您有多个阿里云账号需要统一审计时,如何将多个账号的操作日志收集到一个账号的对象存储(OSS)或日志服务(SLS)中。

photo-1441311956160-78a471e0638d.jpeg

要完成跨账号投递,您需要执行以下操作:

  • 投递目标账号创建投递RAM角色,供操作审计扮演,完成操作记录投递
  • 投递目标账号创建对象存储(OSS)或日志服务(SLS),用于存储多个账号的操作记录
  • 其他账号创建操作审计跟踪,设置投递目标为目标账号的对象存储(OSS)或日志服务(SLS)


下面将为您介绍使用资源目录产品管理多账号和未使用时不同的操作步骤。


使用成员账号存储操作审计组织跟踪收集的事件

当您使用了资源目录产品来管理您多个云账号,操作审计与资源目录深度集成,无须为每个成员账号创建跟踪,只需要在资源目录的master账号上创建组织跟踪即可


当您期望将资源目录下所有账号的操作事件投递到主账号下的对象存储(OSS)或日志服务(SLS)中时,可以参考文档:


当您期望将资源目录下所有账号的操作事件投递到某一个成员账号下的对象存储(OSS)或日志服务(SLS)中时,

您可以通过 CloudShell 快速完成组织跟踪日志投递到成员账号的配置,使用前请确保您正在使用资源目录管理账号下的子账号或角色身份登陆控制台。



您也可以通过控制台完成配置,需要按照以下步骤操作:


步骤一:目标账号创建投递角色

使用目标成员账号创建投递角色, ActionTrailDeliveryRole


为角色增加授权,点击精确授权按钮,选择系统策略,填入AliyunActionTrailDeliveryPolicy

image.png

RAM访问控割/RAM色管理/AiyunActontralDeliveryRole

AliyunActionTrailDeliveryRole

基本信息

2021年3月12日13:45:54

创注封间

AlyunActionlraiDeliveryRole

RAM角色名称

rolePAByunactiontralldeliveryrole口复制

ARN

备油

acs:ram:12918

3600秒编轴

最大会话对响

信任巅略管理

权限管理

浙加权赛

精潇逻权

备注

权限应用范国

权限菱路类型

搜权时间

权限策略名称

没有致话

image.png


设置信任策略管理,修改信任策略,格式为 master账号UID@actiontrail.aliyuncs.com,此策略表明角色可由master账号的操作审计服务扮演。

{
"Statement": [
        {
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": [
"159498693826****@actiontrail.aliyuncs.com"                ]
            }
        }
    ],
"Version": "1"}


步骤二:目标账号创建资源

使用目标账号创建想要收集操作记录的对象存储(OSS)或日志服务(SLS)。我们建议您同时投递到日志服务(SLS)和对象存储(OSS)中,日志服务帮助您实时查询和监控操作事件,可配置较短的数据生命周期以节省成本(如30天);对象存储(OSS)帮助您低成本、长时间存储操作事件,可根据需要进行下载和使用,基于数据安全考虑,建议您开启OSS服务端加密数据合规保留


可以参考文档:


步骤三:master账号创建跟踪

使用master账号创建组织跟踪,设置投递目标为刚刚创建的对象存储(OSS)或日志服务(SLS)。


通过操作审计控制台创建跟踪:

image.png

操f电计/取医列表

音方技术支持群

跟踪列表

羽海以此康天对作管空

订宠韩间婴作

日志绍务

OSSBuC权代名称

鲜地理

玩状态

超省地润

没布蚁号

其也抢处

image.png

朵作市汁

专博智统

官方绩木支特糕

创建跟踪

灿们创定盟瑞?

种带指主本减日刘所

步廉1

盟山名称

怨途基本上性

步骤2

长度为6一32个字持,必震以小污某父子号开头,可但舍小与英父子号,好子,焊划峰日)霸下绎战口.

审计事件投递

洞院的地

炒理3

须览井创连

全那拍证O,年分物撼

深作田计会赛售的萨户在购有锁菌话对事住授冲到[指定存林空间.

事件类量

有事件写事件口你事件

作需计区会*您已法的有辛供投遗到指走镇空间,您仍可在转看近90天的士维事件.

image.png


单独配置多个账号


步骤一:目标账号创建投递角色

使用目标成员账号创建投递角色, ActionTrailDeliveryRole


为角色增加授权,点击精确授权按钮,选择系统策略,填入AliyunActionTrailDeliveryPolicy

image.png

RAM访问控割/RAM色管理/AiyunActontralDeliveryRole

AliyunActionTrailDeliveryRole

基本信息

2021年3月12日13:45:54

创注封间

AlyunActionlraiDeliveryRole

RAM角色名称

rolePAByunactiontralldeliveryrole口复制

ARN

备油

acs:ram:12918

3600秒编轴

最大会话对响

信任巅略管理

权限管理

浙加权赛

精潇逻权

备注

权限应用范国

权限菱路类型

搜权时间

权限策略名称

没有致话

image.png


设置信任策略管理,修改信任策略,格式为 成员账号UID@actiontrail.aliyuncs.com,此策略表明角色可由成员账号的操作审计服务扮演。如果有多个账号,将多个账号都填入到信任策略中。

{
"Statement": [
        {
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": [
"159498693826****@actiontrail.aliyuncs.com",
"159494****@actiontrail.aliyuncs.com",
"123435555****@actiontrail.aliyuncs.com"                ]
            }
        }
    ],
"Version": "1"}

步骤二:目标账号创建资源

使用目标账号创建想要收集操作记录的对象存储(OSS)或日志服务(SLS)。我们建议您同时投递到日志服务(SLS)和对象存储(OSS)中,日志服务帮助您实时查询和监控操作事件,可配置较短的数据生命周期以节省成本(如30天);对象存储(OSS)帮助您低成本、长时间存储操作事件,可根据需要进行下载和使用,基于数据安全考虑,建议您开启OSS服务端加密数据合规保留


可以参考文档:


步骤三:其他账号创建跟踪

所有需要收集操作日志的账号,都需要创建跟踪,并设置投递目标为刚刚创建的对象存储(OSS)或日志服务(SLS)。


通过操作审计控制台创建跟踪:


image.png

操f电计/取医列表

音方技术支持群

跟踪列表

羽海以此康天对作管空

订宠韩间婴作

日志绍务

OSSBuC权代名称

鲜地理

玩状态

超省地润

没布蚁号

其也抢处

image.png

创健飘球

关作事计

曾方接术支持鞋

创建跟踪

如何创庄烧袜?

村村心村指本车恒的事中!

步霍1

跟标名称

银综基本属性

mult-account-tre

步畔:2

长隆刀6-32个字,深小与梁女字开头,可创小与英文字,我字,圳性)下齿

审计事件抢递

智达的地城

步骤3

预览并创选

宝出地域O元分地域

操作筑计会将变的户在斯有地基的活毕住投还到定存镇空间,

事件类展

巧亦仕万半存O经半件

荣作事计仅会释案已选的晰可来作校适分后正齐镇空间,您份才在铁豆看近90天韵全程辛饼.

将跟踪应用到所有成员号

足O否

村付务楼院量无中泰个家为全村日队

image.png


已经投递的数据迁移

如果您想将原有已经投递到当前账号的数据迁移到另一个账号时,可以采用如下的迁移方案进行数据迁移:

相关文章
|
26天前
|
XML JSON 监控
告别简陋:Java日志系统的最佳实践
【10月更文挑战第19天】 在Java开发中,`System.out.println()` 是最基本的输出方法,但它在实际项目中往往被认为是不专业和不足够的。本文将探讨为什么在现代Java应用中应该避免使用 `System.out.println()`,并介绍几种更先进的日志解决方案。
47 1
|
2月前
|
设计模式 SQL 安全
PHP中的设计模式:单例模式的深入探索与实践在PHP的编程实践中,设计模式是解决常见软件设计问题的最佳实践。单例模式作为设计模式中的一种,确保一个类只有一个实例,并提供全局访问点,广泛应用于配置管理、日志记录和测试框架等场景。本文将深入探讨单例模式的原理、实现方式及其在PHP中的应用,帮助开发者更好地理解和运用这一设计模式。
在PHP开发中,单例模式通过确保类仅有一个实例并提供一个全局访问点,有效管理和访问共享资源。本文详细介绍了单例模式的概念、PHP实现方式及应用场景,并通过具体代码示例展示如何在PHP中实现单例模式以及如何在实际项目中正确使用它来优化代码结构和性能。
46 2
|
2月前
|
开发者 Python
基于Python的日志管理与最佳实践
日志是开发和调试过程中的重要工具,然而,如何高效地管理和利用日志常常被忽略。本文通过Python中的logging模块,探讨如何使用日志来进行调试、分析与问题排查,并提出了一些实际应用中的优化建议和最佳实践。
|
3月前
|
JSON Java fastjson
Java日志通关(五) - 最佳实践
作者日常在与其他同学合作时,经常发现不合理的日志配置以及五花八门的日志记录方式,后续作者打算在团队内做一次Java日志的分享,本文是整理出的系列文章第五篇。
|
3月前
|
SQL 数据库 Java
Hibernate 日志记录竟藏着这些秘密?快来一探究竟,解锁调试与监控最佳实践
【8月更文挑战第31天】在软件开发中,日志记录对调试和监控至关重要。使用持久化框架 Hibernate 时,合理配置日志可帮助理解其内部机制并优化性能。首先,需选择合适的日志框架,如 Log4j 或 Logback,并配置日志级别;理解 Hibernate 的多级日志,如 DEBUG 和 ERROR,以适应不同开发阶段需求;利用 Hibernate 统计功能监测数据库交互情况;记录自定义日志以跟踪业务逻辑;定期审查和清理日志避免占用过多磁盘空间。综上,有效日志记录能显著提升 Hibernate 应用的性能和稳定性。
50 0
|
3月前
|
消息中间件 Prometheus 监控
Producer的监控与日志记录最佳实践
【8月更文第29天】在分布式系统中,消息队列作为关键组件之一,其稳定性和性能至关重要。生产者(Producer)负责生成并发送消息到消息队列中,因此确保生产者的健康运行是非常重要的。本文将探讨如何为生产者设置监控和日志记录,以跟踪其健康状况和性能指标。
62 0
|
4月前
|
存储 分布式计算 监控
日志数据投递到MaxCompute最佳实践
日志服务采集到日志后,有时需要将日志投递至MaxCompute的表中进行存储与分析。本文主要向用户介绍将数据投递到MaxCompute完整流程,方便用户快速实现数据投递至MaxCompute。
200 2
|
5月前
|
运维 监控 Java
系统日志规范及最佳实践
系统日志规范及最佳实践
371 1
系统日志规范及最佳实践
|
5月前
|
监控 Java API
【Spring Boot】深入解密Spring Boot日志:最佳实践与策略解析
【Spring Boot】深入解密Spring Boot日志:最佳实践与策略解析
113 1
|
5月前
|
存储 运维 监控
Spring Boot中的日志管理最佳实践
Spring Boot中的日志管理最佳实践