应用场景

出于分析或审计等目的，日志审计对对象存储ZOS访问日志进行集中化采集，结合内置告警策略上报告警，通过日志检索、报表、仪表板展示解析结果，为您提供安全存储、检索、审计、告警、报表等能力，帮助您满足等保合规要求。

对象存储ZOS访问日志详情请参见日志文件信息说明。

前提准备

1. 已购买日志审计（原生版）实例。

2. 已创建对象存储ZOS桶。

3. 已配置权限。详细操作请参考：

   1. 创建用户组和授权

   2. 创建IAM用户和登录

   3. 创建企业项目并基于企业项目完成授权

操作流程

由于4.0资源池需要通过终端节点方式打通ZOS和日志审计的内网传输通过，所以在日志采集前需要在创建一个ZOS的终端节点。而3.0资源池无需此操作。

说明

如何区分实例是4.0资源池还是3.0资源池？

一般来说：3.0资源池无可用区，4.0资源池存在可用区。

您可以在“日志审计（原生版）”控制台“总览”页面，查看实例的资源池可用区情况（如下图所示，有可用区，是4.0资源池），也可以提工单咨询当前资源池准确的情况。

• 4.0资源池

• 3.0资源池

操作步骤

1. （4.0资源池才需要）新增终端节点。

   1. 登录网络控制台。

   2. 选择“VPC终端节点 > 终端节点”。

   3. 单击“创建终端节点”。

      参数	取值
      服务类型	云服务。
      选择服务	ZOS服务。例如：cn.ctyun.cn-huadong-1.zos。
      IP地址类型	IPV4。
      虚拟私有云	VPC：在日志审计（原声版）的“总览”页面查看“实例详情 > 虚拟私有云”。 子网：在日志审计（原声版）的“总览”页面查看“实例详情 > 子网”。
      企业项目	选择所属的企业项目。

   4. 单击“下一步”，即创建成功。

      

      

2. 新增资产。

   1. 登录日志审计（原生版）控制台。

   2. 新建资产组。

   3. 新建资产。

      其中，管理IP、接口IP填写“节点IP”。

      “节点IP”：登录网络控制台，选择“VPC终端节点 > 终端节点”，通过日志审计实例的VPC（虚拟私有云）名称找到对应的终端节点，单击终端节点ID中可在详情中查看“节点IP”。

3. 填写对象存储的数据采集项。

   在日志审计（原生版）控制台，选择“系统配置 > 采集管理 > 对象存储”，配置对象存储ZOS访问日志。

   参数	取值
   资产组	步骤2新增的资产组。
   资产IP	步骤2新增的资产的IPv4 IP。例如，100.127.10.11。 4.0资源池 登录网络控制台，选择“VPC终端节点 > 终端节点”，通过日志审计实例的VPC（虚拟私有云）名称找到对应的终端节点，单击终端节点ID中可在详情中查看“节点IP”。 3.0资源池 登录对象存储控制台，在“资源管理 > 桶列表 > 概览”中，查看IPv4地址。
   对象存储类型	天翼云对象存储ZOS
   日志类型	桶访问日志
   对象存储桶	登录对象存储控制台，在“资源管理 > 桶列表”，查看桶信息，并判断选择哪个桶。例如，bucket-logauditd。 说明 “归档存储”类型的桶不支持采集。
   日志前缀	例如，operation/access。 登录对象存储控制台，在“资源管理 > 桶列表 > 日志管理”查看“日志存储位置”、“日志前缀”。
   ZOS导入授权	若未授权，单击“去授权 > 同意授权”即可完成授权。

4. 查看审计结果。

   审计结果	说明
   日志检索	系统在每个整点过5分钟后，进行日志采集，日志检索展示日志采集结果。（如果无数据，表示未产生日志。）
   告警	系统内置了告警策略（对象存储ZOS访问错误日志）。如果触发了告警策略，将产生告警。
   报表	系统内置了报表（对象存储ZOS访问日志报表）。 使用报表需在“审计报表 > 数据源 > 对象存储ZOS访问日志数据源”启用数据源。
   仪表板	系统内置了仪表板（对象存储ZOS访问分析）。