运维安全中心（堡垒机）日志服务 CLS-操作指南-文档中心-腾讯云

运维安全中心（堡垒机）支持将日志投递到日志服务 CLS，实现日志从采集、日志存储到日志检索等全方位的日志服务。
说明：
日志服务 CLS 为第三方独立计费云产品，计费标准请参考 CLS 购买指南。
前提条件
已开通 日志服务。
当前账号已完成角色授权。
开通日志服务与角色授权
首次使用时，您需要 开通日志服务 并完成角色授权。
1. 登录 运维安全中心（堡垒机）控制台。
2. 在左侧导航栏中，选择系统设置 > 日志服务 CLS。
3. 在日志服务 CLS 页面，单击前往授权。
﻿
4. 在服务授权弹窗中，单击同意授权，即可完成授权操作。
5. 操作完成后，即可使用日志服务 CLS。
命令执行审计日志定义
字段值
类型
说明
Sid
String
会话 ID，用于唯一标识一个会话。
UserName
String
用户名，代表执行操作的用户名称。
Account
String
账号。
InstanceId
String
资产 ID，用于标识特定的资产。
FromIp
String
来源 IP，发出请求的 IP 地址。
SessTime
String
会话开始时间，标志会话启动的时刻。
Time
String
命令执行时间，具体命令被执行的时刻。
TimeOffset
Long
相对会话开始时间的偏移量（单位 ms），表示命令执行时间与会话开始时间的时间差。
Cmd
String
命令内容，即执行的具体命令。
Action
Long
命令动作，1 表示允许执行命令，2 表示拒绝执行命令。
文件传输审计日志定义
字段名
类型
说明
Sid
String
会话 ID，用于唯一标识一个会话。
Time
String
会话时间，标志会话发生的时刻。
Method
Long
1 - 9 由 SFTP 文件传输及磁盘映射使用，剪贴板从 10 开始。
1：文件上传
2：文件下载
3：文件删除
4：文件夹移动
5：文件夹重命名
6：创建文件夹
7：废弃状态
8：废弃状态
9：删除文件夹
10：剪贴板文件上传
11：剪贴板文件下载
12：剪贴板文本上传
13：剪贴板文本下载
14：剪贴板图片上传
15：剪贴板图片下载
16：剪贴板其他类型上传
17：剪贴板其他类型下载
Action
Long
命令动作，1 表示允许执行命令，2 表示拒绝执行命令。
UserName
String
用户名，代表执行操作的用户名称。
Account
String
账号。
FromIp
String
来源 IP，发出请求的 IP 地址。
InstanceId
String
资产 ID，用于标识特定的资产。
Protocol
String
文件的操作使用的协议方式，如 SFTP、RDP、rz/sz。
FileCurr
String
源文件路径。
FileNew
String
目标文件路径。
Size
Long
文件大小。
启用日志服务 CLS
1. 登录 运维安全中心（堡垒机）控制台。
2. 在左侧导航栏中，选择系统设置 > 日志服务 CLS。
3. 在日志服务 CLS 页面，选择需要启用的日志类型，单击立即启用。
﻿
4. 在开启日志投递的弹窗中，选择目标地域、日志集、日志主题等配置。
﻿
参数
说明
目标地域
选择日志投递的地域，支持异地投递。
日志主题操作
日志主题是日志数据进行采集、存储、检索和分析的基本单元。支持选择已有日志主题或者创建日志主题。
日志主题
选择已有日志主题：可在搜索框筛选所选日志集下的日志主题。
创建日志主题：在所选日志集下创建新的日志主题。
说明：
您可对日志主题进行管理，详细请参见 管理日志主题。
日志集操作
日志集是对日志主题的分类，方便您管理日志主题。支持选择已有的日志集或者创建日志集。仅当日志主题操作选择创建日志主题时可选。
日志集
选择已有日志集：可在搜索框筛选已有的日志集。
创建日志集：仅当日志主题操作选择创建日志主题时，此项可设置。
5. 选择参数配置后，单击立即开启即可。
检索分析
1. 登录 运维安全中心（堡垒机）控制台。
2. 在左侧导航栏中，选择系统设置 > 日志服务CLS。
3. 在日志服务 CLS 页面，选中需要查看的日志类型，单击检索分析，跳转至日志服务控制台。
﻿
4. 在日志服务中，检索分析提供对日志数据进行过滤、搜索和统计分析的功能。详情请参见 检索分析。
关闭投递
1. 登录 运维安全中心（堡垒机）控制台。
2. 在左侧导航栏中，选择系统设置 > 日志服务 CLS。
3. 在日志服务 CLS 页面，选择需要关闭的日志类型，单击关闭投递。
﻿
4. 在关闭访日志投递弹窗中，阅读注意事项并勾选确认关闭，单击确认即可。
﻿
说明：
关闭日志投递后，将停止投递运维安全中心（堡垒机）日志。
关闭日志投递后，仅停止新增日志的投递，存量日志将持续存储在日志主题中直至过期，期间将持续产生存储费用。若需删除日志主题，请前往 日志主题管理 删除。
﻿

字段值	类型	说明
Sid	String	会话 ID，用于唯一标识一个会话。
UserName	String	用户名，代表执行操作的用户名称。
Account	String	账号。
InstanceId	String	资产 ID，用于标识特定的资产。
FromIp	String	来源 IP，发出请求的 IP 地址。
SessTime	String	会话开始时间，标志会话启动的时刻。
Time	String	命令执行时间，具体命令被执行的时刻。
TimeOffset	Long	相对会话开始时间的偏移量（单位 ms），表示命令执行时间与会话开始时间的时间差。
Cmd	String	命令内容，即执行的具体命令。
Action	Long	命令动作，1 表示允许执行命令，2 表示拒绝执行命令。

字段名	类型	说明
Sid	String	会话 ID，用于唯一标识一个会话。
Time	String	会话时间，标志会话发生的时刻。
Method	Long	1 - 9 由 SFTP 文件传输及磁盘映射使用，剪贴板从 10 开始。 1：文件上传 2：文件下载 3：文件删除 4：文件夹移动 5：文件夹重命名 6：创建文件夹 7：废弃状态 8：废弃状态 9：删除文件夹 10：剪贴板文件上传 11：剪贴板文件下载 12：剪贴板文本上传 13：剪贴板文本下载 14：剪贴板图片上传 15：剪贴板图片下载 16：剪贴板其他类型上传 17：剪贴板其他类型下载
Action	Long	命令动作，1 表示允许执行命令，2 表示拒绝执行命令。
UserName	String	用户名，代表执行操作的用户名称。
Account	String	账号。
FromIp	String	来源 IP，发出请求的 IP 地址。
InstanceId	String	资产 ID，用于标识特定的资产。
Protocol	String	文件的操作使用的协议方式，如 SFTP、RDP、rz/sz。
FileCurr	String	源文件路径。
FileNew	String	目标文件路径。
Size	Long	文件大小。

参数	说明
目标地域	选择日志投递的地域，支持异地投递。
日志主题操作	日志主题是日志数据进行采集、存储、检索和分析的基本单元。支持选择已有日志主题或者创建日志主题。
日志主题	选择已有日志主题：可在搜索框筛选所选日志集下的日志主题。创建日志主题：在所选日志集下创建新的日志主题。说明：您可对日志主题进行管理，详细请参见管理日志主题。
日志集操作	日志集是对日志主题的分类，方便您管理日志主题。支持选择已有的日志集或者创建日志集。仅当日志主题操作选择创建日志主题时可选。
日志集	选择已有日志集：可在搜索框筛选已有的日志集。创建日志集：仅当日志主题操作选择创建日志主题时，此项可设置。

日志服务 CLS

本页目录：

前提条件

开通日志服务与角色授权

命令执行审计日志定义

文件传输审计日志定义

启用日志服务 CLS

检索分析

关闭投递