全部產品
Search

搜尋本產品

    Simple Log Service:日誌審計服務概述

    文件中心

    Simple Log Service:日誌審計服務概述

    更新時間:Jul 19, 2024

    本文介紹日誌審計服務的功能特性、背景資訊、應用情境、技術優勢及覆蓋的雲產品。

    功能特性

    日誌審計服務在繼承現有Log Service所有功能外,還支援多賬戶下即時自動化、中心化採集雲產品日誌並進行審計,以及支援審計所需的儲存、查詢及資訊匯總。日誌審計服務覆蓋基礎(ActionTrail、Container ServiceKubernetes版)、儲存(OSS、NAS)、網路(SLB、ALB、API Gateway、VPC)、資料庫(關係型資料庫RDS、雲原生分散式資料庫PolarDB-X 1.0、雲原生資料庫PolarDB)、安全(WAF、DDoS防護、Cloud Firewall、Security Center)等產品,並支援自由對接其他生態產品或自有SOC中心。

    背景資訊

    • 日誌審計是法律剛性需求。

      無論中國境內還是海外,企業落實日誌審計越來越迫切。尤其中國內地於2017年實施了《網路安全法》、於2019年12月實施《網路安全等保2.0標準》。日誌審計-001

    • 日誌審計是客戶安全合規依賴的基礎。

      很多企業自身有成熟的法規條例以及合規審計團隊,對帳號裝置的操作、網路行為、日誌進行審計。客戶可以直接消費原生各類日誌,也可以使用日誌審計服務提供的審計功能,構建並輸出合規的審計資訊。如果客戶有資訊安全中心(SOC),則可以直接消費日誌審計中的日誌,也可以使用阿里雲資訊安全中心消費日誌。

    • 日誌審計是安全防護的重要一環。

      根據FireEye M-Trends 2018報告,企業安全防護管理能力薄弱,尤其是亞太地區。全球範圍內企業組織的攻擊從發生到發現所需時間長度平均101天,而亞太地區地區平均需要498天。企業需要長期、可靠、無篡改的日誌記錄與審計支援來持續縮短這個時間。

    應用情境

    • Log Service與審計情境

      Log Service提供一站式資料擷取、清洗、分析、可視化和警示功能。支援Log Service相關情境:DevOps、營運、安全、審計。

    • 典型日誌審計情境

      日誌審計一般分成如下4層需求。日誌審計-004

      • 基礎需求:大部分中小企業客戶需要自動化採集儲存日誌。他們的主要訴求是滿足《網路安全等保2.0標準》中的最低要求,並脫離手工維護。

      • 進階需求:跨國企業、大企業以及部分中型企業,存在多個部門之間獨立結算並且在阿里雲帳號的使用上各自隔離,但是在審計的時候,需要自動化、統一採集相關日誌。他們的主要訴求是除上述的基礎訴求外,還希望中心化採集日誌並支援多個帳號的簡單管理。這部分企業一般擁有審計系統,因此對日誌審計的需求是能夠即時、簡單的對接。

      • 更上層的需求:擁有專門合規團隊的大公司,他們需要對日誌進行監控、警示和分析。一部分客戶採集資料到審計系統中進行操作。另一部分客戶(尤其是計劃在雲上搭建一套新審計系統的客戶)可以使用Log Service提供的審計支援(查詢、分析、警示、可視化等)進行審計操作。

      • 最頂端需求:擁有專業成熟審計合規團隊的大企業,一般擁有自己的資訊安全中心或審計系統,他們的核心需求是對接資料進行統一操作。

      針對以上4類客戶需求,Log Service的日誌審計服務都可以比較好的滿足。

    技術優勢

    • 中心化採集

      • 跨帳號:支援將多個阿里雲帳號下的日誌採集到一個阿里雲帳號下的Project中。您可以通過自訂鑒權管理員模式或資來源目錄管理員模式(推薦)配置多帳號採集。更多資訊,請參見採集多帳號雲產品日誌

      • 一鍵式採集:一次性配置採集策略後,即可完成跨帳號自動即時發現新資源(例如新建立的RDS、SLB、OSS Bucket執行個體等)並即時採集日誌。

      • 中心化儲存:將採集到的日誌儲存到某個地區的中心化Project中,方便後續查詢分析、可視化與警示、二次開發等。

    • 支援豐富的審計功能

      • 繼承Log Service現有的所有功能,包括查詢分析、加工、報表、警示、匯出等功能,支援審計情境下中心化的審計等需求。

      • 生態開放對接:與開源軟體、阿里雲巨量資料產品、第三方SOC軟體無縫對接,充分發揮資料價值。

    雲產品覆蓋及相關資源

    日誌審計服務支援採集基礎(ActionTrail、Container ServiceKubernetes版)、儲存(OSS、NAS)、網路(SLB、ALB、API Gateway、VPC)、資料庫(關係型資料庫RDS、雲原生分散式資料庫PolarDB-X 1.0、PolarDB雲原生資料庫)、安全(WAF、Cloud Firewall、Security Center、DDoS防護)等雲產品日誌。採集完成後,會自動儲存到對應Logstore或Metricstore中,並產生對應的儀錶盤。詳細資料如下:

    雲產品

    審計相關日誌

    採集地區

    使用前提

    Log Service資源

    Action Trail

    • RAM登入日誌

    • 阿里雲產品的資源動作記錄

    • 通過OpenAPI的操作行為日誌

    華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南2(河源)、華南3(廣州)、中國(香港)、新加坡、澳大利亞(雪梨)、馬來西亞(吉隆坡)、印尼(雅加達)、日本(東京)、美國(矽谷)、美國(維吉尼亞)、德國(法蘭克福)、英國(倫敦)、印度(孟買)關停中、阿聯酋(杜拜)

    • Logstore

      actiontrail_log

    • 儀錶盤

      • ActionTrail審計中心

      • ActionTrail核心配置中心

      • ActionTrail登入中心

    配置審計

    • 配置變更日誌

    • 資源不合規事件

    配置審計支援的全部地區

    如果您需要在日誌審計中採集、儲存或查詢配置審計日誌,需要同意授權Log Service提取您在配置審計中記錄的日誌。授權後,您的配置審計日誌將被自動推送到Log Service中。

    • Logstore

      cloudconfig_log

    • 儀錶盤

    負載平衡

    HTTP或HTTPS偵聽執行個體的7層部落格

    華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南2(河源)、華南3(廣州)、西南1(成都)、中國(香港)、新加坡、日本(東京)、馬來西亞(吉隆坡)、印尼(雅加達)、菲律賓(馬尼拉)、印度(孟買)關停中、英國(倫敦)、阿聯酋(杜拜)、澳大利亞(雪梨)、美國(矽谷)、美國(維吉尼亞)、德國(法蘭克福)

    • Logstore

      slb_log

    • 儀錶盤

      • SLB審計中心

      • SLB訪問中心

      • SLB全域資料

    應用型負載平衡

    HTTP或HTTPS偵聽執行個體的7層部落格

    華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華北3(張家口)、華北6(烏蘭察布)、華南1(深圳)、華南3(廣州)、西南1(成都)、中國(香港)、日本(東京)、新加坡、澳大利亞(雪梨)、馬來西亞(吉隆坡)、印尼(雅加達)、德國(法蘭克福)、美國(矽谷)、美國(維吉尼亞)、印度(孟買)關停中

    • Logstore

      alb_log

    • 儀錶盤

      • ALB控制中心

      • ALB訪問中心

    API Gateway

    訪問日誌

    所有在售地區

    • Logstore

      apigateway_log

    • 儀錶盤

      API Gateway審計中心

    VPC

    流日誌

    華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南2(河源)、華南3(廣州)、西南1(成都)、中國(香港)、新加坡、澳大利亞(雪梨)、馬來西亞(吉隆坡)、印尼(雅加達)、日本(東京)、美國(矽谷)、美國(維吉尼亞)、阿聯酋(杜拜)、德國(法蘭克福)、印度(孟買)關停中、英國(倫敦)

    • 開啟VPC或交換器的流日誌捕獲時,VPC或交換器內屬於以下ECS執行個體規格類型系列的執行個體不支援捕獲流日誌資訊,其他滿足要求的ECS執行個體可以正常捕獲流日誌資訊。

    • 如果彈性網卡綁定的ECS執行個體屬於以下執行個體規格類型系列的執行個體時,不支援開啟該彈性網卡的流日誌捕獲。

    ecs.c1、ecs.c2、ecs.c4、ecs.ce4、ecs.cm4、ecs.d1、ecs.e3、ecs.e4、ecs.ga1、ecs.gn4、ecs.gn5、ecs.i1、ecs.m1、ecs.m2、ecs.mn4、ecs.n1、ecs.n2、ecs.n4、ecs.s1、ecs.s2、ecs.s3、ecs.se1、ecs.sn1、ecs.sn2、ecs.t1、ecs.xn4

    • Logstore

      vpc_log

    • 儀錶盤

      • VPC流日誌概覽

      • VPC流日誌Reject中心

      • VPC流日誌Traffic中心

    DNS

    內網DNS日誌

    華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華北3(張家口)、華南1(深圳)、華南3(廣州)、中國(香港)、新加坡

    前往新版DNS控制台,開通雲解析PrivateZone服務。

    • Logstore

      dns_log

    • 儀錶盤

    公網DNS日誌

    不涉及

    • 前往新版DNS控制台,開通DNS流量分析服務,並開啟相關網域名稱的流量分析功能。

    • 暫不支援中文網域名稱日誌轉存

    • Logstore

      dns_log

    • 儀錶盤

    全域流量管理日誌

    不涉及

    • 前往新版DNS控制台,開通全域流量管理服務,併購買相應的全域流量管理執行個體。

    • 暫不支援中文網域名稱日誌轉存。

    • 該功能僅限白名單使用者使用,請提工單申請,到DNS側加白。

    • Logstore

      dns_log

    • 儀錶盤

    Web Application Firewall

    • 訪問日誌

    • 攻擊日誌

    所有在售地區

    • 旗艦版和企業版

    • 需在WAF控制台中購買Log Service模組。更多資訊,請參見開通WAFLog Service

    • Logstore

      waf_log

    • 儀錶盤

      • WAF審計中心

      • WAF資訊安全中心

      • WAF訪問中心

    Security Center

    • 主機日誌(9種)

    • 部落格(4種)

    • 安全日誌(7種)

    華東1(杭州)、新加坡

    • Logstore

      sas_log

    • 儀錶盤

      • SAS安全警示中心

      • SAS網路連接中心

      • SAS DNS中心

      • SAS基準中心

      • SAS賬戶快照

      • SAS進程快照

      • SAS網路會話

      • SAS漏洞中心

      • SAS Web訪問中心

    Cloud Firewall

    互連網邊界防火牆流量日誌、VPC邊界防火牆流量日誌

    不涉及

    • 進階版本及以上

    • 需在Cloud Firewall控制台中購買日誌分析模組。更多資訊,請參見開通日誌分析功能

    • Logstore

      cloudfirewall_log

    • 儀錶盤

      Cloud Firewall審計中心

    Bastionhost

    操作命令日誌

    所有在售地區

    V3.2版本及以上

    • Logstore

      bastion_log

    • 儀錶盤

    Object Storage Service

    • 資源動作記錄

    • 資料動作記錄

    • 資料訪問日誌、計量日誌

    • 到期檔案刪除日誌

    • CDN迴流日誌

    華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南2(河源)、華南3(廣州)、西南1(成都)、中國(香港)、新加坡、澳大利亞(雪梨)、馬來西亞(吉隆坡)、印尼(雅加達)、菲律賓(馬尼拉)、日本(東京)、韓國(首爾)、泰國(曼穀)、印度(孟買)關停中、德國(法蘭克福)、阿聯酋(杜拜)、英國(倫敦)、美國(維吉尼亞)、美國(矽谷)

    • Logstore

      oss_log

    • 儀錶盤

      • OSS審計中心

      • OSS訪問中心

      • OSS營運中心

      • OSS效能中心

      • OSS全域資料

    雲資料庫RDS

    • RDS MySQL審計日誌

    • RDS MySQL慢日誌

    • RDS MySQL效能日誌

    • RDS MySQL錯誤記錄檔

    • RDS PostgreSQL審計日誌

    • RDS PostgreSQL慢日誌

    • RDS PostgreSQL錯誤記錄檔

    • RDS MySQL審計日誌:除華東5(南京-本地地區)、華東6(福州-本地地區)、華南2(河源)、菲律賓(馬尼拉)外的所有當前在售地區。

    • RDS MySQL慢日誌、效能日誌、錯誤記錄檔:除華東5(南京-本地地區)、華東6(福州-本地地區)、菲律賓(馬尼拉)外的所有當前在售地區。

    • RDS PostgreSQL審計日誌:華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華南1(深圳)、華南2(河源)、華南3(廣州)、中國(香港)、新加坡、澳大利亞(雪梨)、馬來西亞(吉隆坡)、印尼(雅加達)、德國(法蘭克福)、美國(維吉尼亞)

    • RDS PostgreSQL慢日誌、錯誤記錄檔:華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南2(河源)、華南3(廣州)、西南1(成都)、中國(香港)、新加坡、澳大利亞(雪梨)、馬來西亞(吉隆坡)、印尼(雅加達)、菲律賓(馬尼拉)、德國(法蘭克福)、英國(倫敦)、美國(維吉尼亞)

    • 審計日誌

      • MySQL:不支援基礎版

      • PostgreSQL:支援高可用版

      • 均需開啟SQL洞察或審計功能,由日誌審計服務自動開啟。

    • 慢日誌、錯誤記錄檔

      • MySQL:不支援基礎版

      • PostgreSQL:支援高可用版

    • 效能日誌

      只支援非基礎版的MySQL執行個體。

    • 審計日誌

      • Logstore

        rds_log

      • 儀錶盤

        • RDS審計中心

        • RDS審計資訊安全中心

        • RDS審計效能中心

        • RDS全域資料

    • 慢日誌、錯誤記錄檔

      • Logstore

        rds_log

      • 儀錶盤

    • 效能日誌

      • Metricstore

        rds_metrics

      • 儀錶盤

        RDS效能監控

    雲資料庫PolarDB

    • PolarDB MySQL審計日誌

    • PolarDB MySQL慢日誌

    • PolarDB MySQL效能日誌

    • PolarDB MySQL錯誤記錄檔

    所有在售地區

    • 審計日誌

      • 支援MySQL叢集

      • 需開啟SQL洞察或審計功能。由日誌審計服務自動開啟。

    • 慢日誌、效能日誌、錯誤記錄檔

      只支援MySQL叢集。

    • 慢日誌、審計日誌、錯誤記錄檔

      • Logstore

        polardb_log

      • 儀錶盤

    • 效能日誌

      • Metricstore

        polardb_metrics

      • 儀錶盤

        PolarDB效能監控

    PolarDB-X 1.0

    PolarDB-X 1.0審計日誌

    華北1(青島)、華南1(深圳)、華東2(上海)、華北2(北京)、華東1(杭州)、華北3(張家口)、西南1(成都)、中國(香港)

    • Logstore

      drds_log

    • 儀錶盤

      • DRDS營運中心

      • DRDS資訊安全中心

      • DRDS效能中心

    檔案儲存體

    訪問日誌

    所有在售地區

    • Logstore

      nas_log

    • 儀錶盤

      • NAS概覽

      • NAS審計中心

      • NAS營運中心

    Container ServiceKubernetes版

    • Kubernetes審計日誌

    • Kubernetes事件中心

    • Ingress訪問日誌

    華東2(上海)、華北2(北京)、華東1(杭州)、華南1(深圳)、華北5(呼和浩特)、華北3(張家口)、西南1(成都)、中國(香港)

    針對Kubernetes的採集,需要您先手動開通對應的日誌採集功能。

    說明

    • 必須使用自動建立的專屬Project(k8s-log-{ClusterID}),暫不支援手動建立的Project。

    • Kubernetes相關日誌採集依賴於資料加工功能,會產生相應的加工費用。更多資訊,請參見按使用功能計費模式計費項目

    • 暫不支援跨帳號採集K8s相關的日誌。

    • Logstore

      • k8s_log

      • k8s_ingress_log

    • 儀錶盤

      • Kubernetes審計中心概覽

      • Kubernetes事件中心

      • Kubernetes資源操作概覽

      • Ingress概覽

      • Ingress訪問中心

    DDoS防護

    • DDoS高防(中國內地)訪問日誌

    • DDoS高防(非中國內地)訪問日誌

    • DDoS原生防護訪問日誌

    不涉及

    • DDoS高防(中國內地):已在DDoS高防(中國內地)控制台上購買全量日誌分析模組。更多資訊,請參見快速使用全量日誌分析

    • DDoS高防(非中國內地):已在DDoS高防(非中國內地)控制台上購買全量日誌分析模組。更多資訊,請參見快速使用全量日誌分析

    • DDoS原生防護:已在DDoS原生防護控制台上購買全量日誌分析模組。更多資訊,請參見開通原生防護日誌功能

    • Logstore

      ddos_log

    • 儀錶盤

      • DDoS高防(非中國內地)訪問中心

      • DDoS高防(非中國內地)營運中心

      • DDoS高防(中國內地)訪問中心

      • DDoS高防(中國內地)營運中心

      • DDoS原生防護事件報表

      • DDoS原生防護清洗分析報表

    應用整合

    動作記錄

    不涉及

    • Logstore

      appconnect_log

    • 儀錶盤

    說明

    採集RDS或PolarDB執行個體重啟後5分鐘內產生的日誌時,可能存在缺失。