云审计服务CTS接入LTS
云日志服务支持云审计服务(Cloud Trace Service)日志接入。
前提条件
购买并使用华为云CTS实例。
操作步骤
云日志服务接入方式为云审计 CTS时,按照如下操作完成接入配置。
- 登录云日志服务控制台。
- 在左侧导航栏中,选择“日志接入”,单击“云审计 CTS”进行CTS接入配置。
- 选择日志流。
- 单击“所属日志组”后的目标框,在下拉列表中选择具体的日志组,若没有所需的日志组,单击“所属日志组”目标框后的“新建”,在弹出的创建日志组页面创建新的日志组。
- 单击“所属日志流”后的目标框,在下拉列表中选择具体的日志流,若没有所需的日志流,单击“所属日志流”目标框后的“新建”,在弹出的创建日志流页面创建新的日志流。
- 单击“下一步”:CTS配置。
- CTS配置。
单击“前往CTS配置”。
- 在云审计服务控制台,选择左侧导航树的“追踪器”,进入追踪器信息页面。
- 单击“创建追踪器”,配置各参数信息。
- 完成后,单击“确定”。
具体的操作步骤及参数配置,请见云审计服务《用户指南》。
- 单击下一步:日志流配置。
表1 日志流配置参数表 参数
说明
自动对日志流进行结构化配置和索引配置
开启该按钮,自动对日志流进行结构化配置和索引配置。日志流结构化配置为CTS系统模板;索引配置为所有CTS解析出来的字段打开快速分析按钮。配置结构化和索引后,才能对CTS日志进行SQL分析,并提供可视化图表。
- 完成
结构化模板日志详情
- 结构化模板示例
表2 结构化模板示例 模板名称
示例日志
CTS
{"code":"201","source_ip":"10.10.1.10","trace_type":"ApiCall","event_type":"global","project_id":"221123nsada3sda3231das3111ndsab","trace_id":"1eesdd-dad6-11dsaea-edaxfeqdf","trace_name":"demodemodemo","resource_type":"token","trace_rating":"normal","service_type":"IAM","resource_id":"98763hkjhdteoi03861732hjh7983bhd","tracker_name":"global","time":"1597042369296","resource_name":"demodemodemo/demo","record_time":"1597042370464","user":{"domain":{"name":"testdemo","id":"21185d8818e443e1ryjkh71622f09212b"},"name":"testdemo/demo","id":"6hfakl86faqw87dsasasadf09ajbml"}}
- 结构化字段及字段说明
表3 结构化字段 字段
示例
描述
类型
code
201
事件http返回码例如200,400
long
event_type
global
事件类型
string
project_id
221123nsada3sda3231das3111ndsab
项目Id
string
record_time
1597042370464
记录操作的时间,表示方式为时间戳
long
resource_id
98763hkjhdteoi03861732hjh7983bhd
资源的唯一标识
string
resource_name
demodemodemo/demo
资源名称
string
resource_type
token
资源类型
string
service_type
IAM
操作来源
string
source_ip
10.10.1.10
发起本次操作的用户的IP,若为系统内调用,则为空
string
time
1597042369296
事件发生时间。以当地标准时间(采用格林威治时间加当地时区形式)进行展示,例如:2016/12/08 11:24:04 GMT+08:00。在接口中,该字段以时间戳格式进行传输和存储。该字段为格林威治时间1970年01月01日00时00分00秒至现在的总毫秒数
long
trace_id
1eesdd-dad6-11dsaea-edaxfeqdf
操作的唯一标识
string
trace_name
demodemodemo
操作名称
string
trace_rating
normal
操作事件等级,分为normal(正常)、warning(警告)和incident(事故)。
- normal:代表本次操作成功。
- warning:代表本次操作失败。
- incident:代表本次操作引起了比失败更严重的后果,比如会造成节点故障或用户业务故障等情况。
string
trace_type
ApiCall
操作类型,分为如下五种:
- ConsoleAction表示通过管理控制台执行的操作。
- SystemAction表示系统内部触发的操作。
- ApiCall表示调用ApiGateway触发的操作。
- ObsSDK表示通过调用OBS提供的SDK触发的关于OBS桶相关操作。
- Others表示除去通过“ObsSDK”触发的关于OBS桶相关的操作
string
tracker_name
global
跟踪器名称
string
user.domain.id
21185d8818e443e1ryjkh71622f09212b
用户的domainId
string
user.domain.name
testdemo
用户的domainName
string
user.id
6hfakl86faqw87dsasasadf09ajbml
用户Id
string
user.name
testdemo/demo
用户名称
string