设置多账号日志汇聚

背景信息

• 集团公司经常采用多账号解决方案（LandingZone），不同的业务部门使用不同的账号，实现权限、资源等的隔离，提高账号的安全性。
• 集团公司的安全合规部门有统一收集日志的诉求，期望将不同账号下各个业务部门的关键日志集中存储和分析，汇聚到一个日志账号中，用于应对不同国家和地区的安全合规审计要求。
• 集团公司的运营部门也可能出于运营分析的诉求，期望将不同账号下各个业务部门的关键日志集中存储和分析，汇聚到一个日志账号中，方便后续进行统一的大数据处理和可视化展示。

方案介绍

• 组织（以下简称Organizations）云服务为企业用户提供多账号关系的管理能力。Organizations支持用户将多个华为云账号整合到创建的组织中，并可以集中管理组织下的所有账号。用户可以在组织中设置访问策略，帮助用户更好地满足业务的安全性和合规性需求。
• 云日志服务LTS联合Organizations推出多账号日志汇聚中心，您可以在Organizations使用管理账号指定某个成员账号成为LTS可信服务的委托管理员账号，然后可以在LTS将组织下某个成员账号的日志流复制到管理账号或者委托管理员账号中，实现多账号日志集中汇聚的目的。
• 某个成员账号的源日志组/日志流实际上是被复制一份到管理账号或者委托管理员账号对应的目标日志组/日志流中，因此两个账号间的日志组/日志流之间不会互相干扰，可以在各自账号下独立配置转储、消费、加工等任务。

前提条件

• 已创建组织。更多信息请参考创建组织。
• 已设置service.LTS为可信服务。更多信息请参考启用、禁用可信服务。
• 赋予管理账号或者委托管理员账号拥有Organizations服务只读权限。关于委托账号的操作请参考添加、查看和取消委托管理员。关于授权的操作请联系企业管理员参考创建IAM用户并授权管理组织。

设置多账号日志汇聚任务

1. 使用管理账号或者委托管理员账号登录管理控制台，选择“云日志服务 LTS”进入日志管理页面。
2. 在日志应用下方，单击“多账号日志汇聚中心”。
3. 在多账号日志汇聚配置页面，开启日志接收状态，左侧选择某个成员账号，右侧勾选对应的源日志组/日志流，支持自定义目标日志组/日志流的名称。
   

   • 若不需要使用日志汇聚配置功能时，可以关闭日志接收状态，则所有汇聚配置都会失效，源日志流停止汇聚到目标日志流上。
   • 支持创建日志流的数量不超过总数量。更多信息请参考基础资源限制。

4. 设置完成后，单击“确定”，该账号汇聚配置创建中，预计5分钟左右创建完成，请稍后刷新查看配置。
   

   • 目标日志流初始化时默认采用源账号日志流的索引配置和结构化配置，配置成功后，若源账号日志流修改索引/结构化配置则不会同步到目标日志流。
   • 删除源账号的日志组/日志流不会对目标账号的日志组/日志流造成影响。
   • 取消勾选日志组/日志流并成功下发配置后，该日志组/日志流将不再继续汇聚。