全部產品
Search

搜尋本產品

    Security Center:日誌管理

    文件中心

    Security Center:日誌管理

    更新時間:Sep 14, 2024

    接入雲產品日誌後,您可以使用日誌管理功能對多種雲產品的日誌進行儲存和查詢,以便協助您精準定位警示、進行攻擊溯源、提高響應速度、降低多資源環境的日誌管理難度,從而加強安全防禦體系。日誌管理儲存方案符合《網路安全法》和《資訊安全技術 網路安全等級保護基本要求》(等保2.0)的合規要求。本文介紹如何使用日誌管理功能。

    功能原理

    日誌管理功能是威脅分析與響應服務聯合Log ServiceSLS提供的多雲、多帳號和多產品的日誌集中儲存和分析能力。

    購買威脅分析與響應日誌儲存容量後,威脅分析與響應服務會在Log Service自動建立一個專屬Project(命名為aliyun-cloudsiem-data-阿里雲帳號ID-RegionID)和專屬Logstore(命名為cloud_siem),用於儲存威脅分析與響應收集到的所有日誌資料。威脅分析與響應日誌的儲存地區取決於您在Security Center控制台左上方選擇的服務所在地區。

    • 選擇中國時,威脅分析與響應收集到的日誌將儲存在華東2(上海)地區。

    • 選擇全球(不含中國)時,威脅分析與響應收集到的日誌將儲存在新加坡地區。

    重要

    您可以登入Log Service控制台查看威脅分析與響應的專屬Project和專屬Logstore,請勿刪除該Project和Logstore。

    如果誤刪Logstore,控制台會提示cloud_siem日誌庫不存在,並且您當前Logstore的所有日誌資料會丟失。這種情況下,您需要提交工單重設處理。重設後您需重新開通威脅分析與響應服務才可繼續使用。已丟失的日誌資料無法恢複。

    當您開啟對應日誌類型的投遞任務後,威脅分析與響應服務會自動將日誌投遞到日誌庫cloud_siem中。投遞的日誌會一直保留,直到超過您設定的儲存天數後,對應日誌資料被刪除。如果日誌儲存空間耗盡,新日誌會停止投遞。在已使用的日誌容量超過總容量的80%時,Security Center支援發送通知資訊。通知設定的具體操作,請參見通知設定

    計費說明

    訂用帳戶預付費。按照您購買的日誌分析儲存容量和購買時間長度收取費用。您在Security Center控制台進行日誌查詢、匯出等操作時,不會產生其他費用。

    在日誌管理功能將日誌投遞到Log Service後,如果您在Log Service控制台對日誌資料進行加工、投遞等操作,您可能需要額外支付該部分費用。

    • 當Logstore的計費模式為按使用功能計費時,在Log Service進行資料加工、投遞、從外網存取點流式讀取資料操作,由Log Service收取加工計算費用、資料投遞費用和外網讀取流量費用。更多資訊,請參見按使用功能計費模式計費項目

    • 當Logstore的計費模式為按寫入資料量計費時,在Log Service進行資料加工、投遞等操作免費,僅在Log Service進行外網資料讀取時將按照Log Service標準方式收費。更多資訊,請參見按寫入資料量計費模式計費項目

    多帳號統一管理說明

    在多帳號統一管理情境下,如果您使用全域帳號管理員登入Security Center控制台,在日誌管理頁面管理日誌前,需要切換視圖。視圖說明如下:

    • 當前帳號視圖:查看並管理當前帳號儲存的日誌資料。

    • 全域帳號視圖:查看並管理威脅分析與響應管控範圍內的阿里雲帳號投遞到當前帳號下儲存的日誌資料。

    重要

    • 當前帳號視圖全域帳號視圖下開啟了日誌投遞,均會消耗全域帳號管理員購買的日誌儲存容量,且儲存的日誌資料歸屬於全域帳號管理員。

    • 如果被威脅分析全域帳號管理員管控的阿里雲帳號需要使用自身帳號管理日誌,該阿里雲帳號需單獨購買威脅分析與響應日誌儲存容量,並使用自身帳號在Security Center控制台威脅分析與響應 > 日誌管理開啟投遞。

    前提條件

    步驟一:開啟投遞

    1. 登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)

    2. 在左側導覽列,選擇威脅分析與響應 > 產品接入

    3. 產品接入頁面右上方,單擊日誌管理設定

    4. 日誌投遞管理地區,開啟需要投遞的日誌類型投遞到熱資料/啟停時間列下的開關。

      您可以選中多個日誌類型後,單擊批量投遞

      日誌管理頁面,開啟目標日誌類型右側的開關,也可以直接開啟該日誌類型到儲存空間的投遞。

      image

    5. (可選)在左側導覽列,選擇威脅分析與響應 > 日誌管理日誌管理頁面右上方,單擊全部投遞,為所有已接入資料來源的日誌類型開啟投遞。

    說明

    如果不需要儲存某種類型的產品日誌,您可以關閉該日誌類型的投遞開關。日誌管理將不會再接收該日誌類型產生的新日誌。

    步驟二:查詢日誌

    1. 在左側導覽列,選擇威脅分析與響應 > 日誌管理

    2. 日誌管理頁面左上方,單擊所有資料來源,在所有資料來源下拉式清單,選中需要查看的資料來源(即選擇雲產品和日誌類型)。

    3. 設定查詢時間,通過查詢語句檢索日誌,並查看日誌分析資料。

      威脅分析與響應日誌管理的日誌查詢方法和Security Center日誌分析查詢方法相同,具體操作,請參見自訂日誌查詢與分析

    更多操作

    修改日誌儲存天數

    開啟投遞的雲產品日誌預設儲存天數為180天,您可以根據需要修改儲存天數。

    1. 在左側導覽列,選擇威脅分析與響應 > 產品接入

    2. 產品接入頁面右上方,單擊日誌管理設定

    3. 日誌管理面板,單擊儲存天數列的修改,修改日誌的儲存天數。

    日誌儲存容量管理

    您可以在威脅分析與響應 > 日誌管理頁面,查看當前的日誌使用量和總容量。您可以按需擴容或清空日誌儲存空間。

    • 單擊擴容,可購買更多日誌儲存容量。

      請確保日誌儲存空間充足。如果日誌儲存空間被佔滿,將無法寫入新的日誌。

    • 單擊清空,可清空儲存空間。

      警告

      清空儲存空間後將無法複原日誌資料,請務必謹慎使用清空功能。建議您先將日誌匯出並儲存到本地後,再清空儲存空間。

    image

    相關文檔