投递至消息队列 CKafka
1. 在 日志分析页面,单击页面上方的日志投递 > KAFKA。
2. 在 KAFKA 页面,单击立即配置。
3. 在 CKafka 投递配置页面,需授权接入,并配置消息队列实例、公网域名接入、用户名和密码,单击确定。
4. 配置完成,确认每一类日志是否开启投递以及投递的 Topic ID/名称。
跨账号公网域名投递日志
步骤1:选择投递方式
1. 在 日志分析页面,单击页面上方的日志投递,并选择 KAFKA 或 CLS。
2. 在 KAFKA 页面,选择投递至其他腾讯云账号,并输入接收账号的 uin。
注意:
接收账号在腾讯云 Ckafka 控制台 配置消息实例时,需选择公网域名方式,并创建3个可接收容器安全服务审计日志的 topic。
将该消息实例的 ID、公网域名,以及接收3类日志所需的 topic ID 和名称记录备份,牢记用户名和密码信息。跨账号授权完成后需在投递账号填写上述信息。
步骤2:配置日志跨账号投递授权
当选择跨账号投递容器安全服务(TCSS)日志时,需在接收账号上授权,允许投递账号核对接收账号的 Ckafka 消息实例、拉取Topic ID和名称等内容。
容器安全服务产品角色已存在
1. 登录 访问管理控制台,在左侧导航中,单击角色。
2. 在角色页面的搜索框中,输入 TCSS,如检索到下图中的内容,角色名称为:TCSS_QCSRole,角色载体为:产品服务 - tcss。则说明该账号已绑定过容器安全服务产品角色,在关联策略中增加访问管理(CAM)的策略权限和 Ckafka 策略权限即可。
注意
3. 单击 TCSS_QCSRole,进入角色的权限页面。
4. 在权限页面,检索策略名
QcloudAccessForTCSSRoleInCkafka
。策略已存在
返回 容器安全服务控制台登录投递账号,按界面提示测试跨账号策略授权是否成功,成功后配置 Ckafka 日志投递所需的公网域名、消息队列、topic 等信息。
策略不存在
4.1.1 单击关联策略,经过二次确认后,进入关联策略弹窗。
注意
该角色为您授权的服务角色,擅自更改角色内容(角色关联策略或者角色载体)可能导致您授权的服务无法正确使用该角色。
4.1.2 在关联策略弹窗中,检索策略名
QcloudAccessForTCSSRoleInCkafka
,勾选策略并单击确定,即可在 TCSS_QCSRole 角色详情中查看到该条策略。
4.1.3 配置完成后,返回 容器安全服务控制台登录投递账号,按界面提示测试跨账号策略授权是否成功,成功后配置 Ckafka 日志投递所需的公网域名、消息队列、topic 等信息。
容器安全服务产品角色不存在
1. 在 角色页面 的搜索框中,输入 TCSS,如检索不到下图中角色名称为:TCSS_QCSRole、角色载体为:产品服务 - tcss 的内容,则说明该账号未绑定过容器安全服务产品的任何策略角色,需在列表中新建角色。
2. 在角色页面,单击新建角色,选择腾讯云产品服务。
3. 在输入角色载体信息中,勾选容器安全服务 (tcss),单击下一步。
4. 在配置角色策略中,检索并勾选策略名
QcloudAccessForTCSSRoleInCkafka
,单击下一步。
5. 在配置角色标签中,用户可自定义或为空,单击下一步。
6. 在审阅中,角色名称务必配置为
TCSS_QCSRole
,容器安全服务严格按该角色名称拉取配置权限;角色描述可用户自定义或为空。配置完成,单击完成,验证身份信息后即可在角色页面查看该角色和关联的策略。
7. 配置完成, 返回 容器安全服务控制台登录投递账号,按界面提示测试跨账号策略授权是否成功,成功后配置 Ckafka 日志投递所需的公网域名、消息队列、topic 等信息。
投递至日志服务 CLS
使用日志服务 CLS 投递时,需授权接入。授权完成后,确认每一类日志是否开启投递以及投递的日志集和日志主题。
1. 在 日志分析页面,单击页面上方的日志投递 > CLS。
2. 在 CLS 页面,选择需要投递的日志类型,单击立即配置。
3. 在投递设置页面,配置相关参数,单击确定。
说明