日志审计常见问题排查手册

一、如何查看审计服务状态?

• 登陆日志审计服务首页https://sls.console.aliyun.com/lognext/app/audit/audit_global_config
• 查看接入状态: 云产品接入-> 接入状态。
日志审计常见问题排查手册
• 如果显示状态正常,则表明日志审计服务目前运行正常。

二、权限错误

日志审计常见问题排查手册
接入状态显示错误。异常账号或配置异常中显示诸如:
• Error:Forbidden.RAM User not authorized to operate on the specified resource, or this API does not support RAM.
• center account has no permission to check ...
说明该账号的审计功能权限配置存在异常。处理策略如下:
1、全局配置页查看是否授权。如果未授权,则通过密钥授权,并再次查看接入状态是否变正常;如果已授权,但接入状态错误,需要继续进行后续检查。
日志审计常见问题排查手册
2、单账号场景权限确认步骤
2.1 检查ram角色sls-audit-service-dispatch、sls-audit-service-monitor是否存在。
日志审计常见问题排查手册
2.2 sls-audit-service-monitor检查
日志审计常见问题排查手册
2.3 sls-audit-service-dispatch检查
日志审计常见问题排查手册

3、更多详细操作:
• 单账号场景:https://help.aliyun.com/document_detail/164069.html?spm=a2c4g.11186623.6.1074.7ba11f12DR6s6m#title-ai1-x3r-igp
• 多账号场景:https://help.aliyun.com/document_detail/164069.html?spm=a2c4g.11186623.6.1074.7ba11f12DR6s6m#title-uty-2pd-gup

三、子账号权限不足

如果上述权限配置全都正确,仍然报权限不足的错误。需要看下当前账号是否子账号。
例如,如果提示rds权限不足,可以通过该账号登陆rds控制台,查看是否有rds权限。
日志审计常见问题排查手册
解决方案:
1、临时先关闭子账号没权限的产品。
2、主账号进行授权后,重新打开对应产品的审计功能。

四、SAS未激活日志服务

日志审计常见问题排查手册

报错:account xxxx has not activated sas service log module, ex: None.
解决:在云安全中心控制台开通并单独购买日志服务。https://help.aliyun.com/document_detail/93065.html

五、如何关闭日志审计?

1、登录日志服务控制台。
2、在日志应用区域,单击日志审计服务中的进入应用。
3、在审计配置 > 云产品接入 > 全局配置页面,单击右上角的删除审计资源。
4、根据页面提示,完成删除。
日志审计常见问题排查手册

上一篇:Kubernetes-连接Harbor仓库拉取镜像


下一篇:基于SLS构建RDS审计合规监控