阿里雲Log Service聯合Security Center聯合推出日誌分析功能,提供風險威脅資料的即時採集、查詢與分析、加工、消費等一站式服務,協助您全面瞭解、有效處理伺服器的安全隱患,實現對雲上資產的集中安全管理。 本文介紹Security Center日誌分析功能相關的資產詳情、費用及使用限制。
使用限制
專屬Logstore不支援寫入其他資料,不支援修改屬性資訊(例如資料存放區時間長度)。
根據《網路安全法》日誌至少儲存180天的要求,推薦每台伺服器配置40GB的日誌儲存容量。
Security Center免費版不支援開通日誌分析功能。Security Center旗艦版、企業版支援查看部落格、安全日誌和主機日誌,進階版、防病毒版僅支援查看安全日誌和主機日誌。不同版本的區別,請參見計費概述。
資產詳情
專屬Project和Logstore
開通日誌分析功能後,系統預設建立一個名為sas-log-阿里雲帳號ID-地區ID的Project,以及一個名為sas-log的專屬Logstore。地區說明如下表所示。
Security Center地區
Project所屬地區
中國
華東1(杭州)
全球(不含中國)
新加坡
重要請勿刪除Security Center日誌相關的Project和Logstore,否則將無法正常推送日誌到Log Service。
如果您誤刪了專屬Logstore,系統提示sas-log Logstore不存在,並且您當前Logstore的所有日誌資料丟失。這種情況下,您需提交工單重設處理。重設後您需重新開通日誌分析服務,已丟失的日誌資料無法恢複。
若您曾開通過按寫入資料量計費模式,則系統預設建立計費模式為按寫入資料量計費的專屬Logstore。若您需要切換至按使用功能計費模式,可修改Logstore配置,具體操作,請參見修改Logstore配置。
專屬儀錶盤
日誌分析功能覆蓋3大類,預設產生9個儀錶盤。
重要專屬儀錶盤可能隨時進行升級與更新,建議您不要修改專屬儀錶盤。您可以自訂儀錶盤用於查詢結果展示。更多資訊,請參見建立儀錶盤。
支援的日誌類型
Security Center企業版和旗艦版支援主機、安全和網路三大類的16種子類日誌;防病毒版和進階版僅支援主機和安全兩大類的12種子類日誌。
部落格
日誌類型 | __topic__ | 描述 | 採集周期 |
sas-log-http | 記錄使用者請求Web伺服器和Web伺服器響應的日誌,包括HTTP請求的詳細資料,例如使用者IP地址、請求時間、要求方法、請求URL、HTTP狀態代碼、響應大小等。 Web訪問日誌通常用於分析Web流量和使用者行為、識別訪問模式和異常情況、最佳化網站效能等。 | 資料延遲採集,延遲時間一般為:1~12小時 | |
sas-log-dns | 記錄DNS解析過程詳細資料的日誌,包括請求網域名稱、查詢類型、用戶端IP地址、響應值等資訊。 通過分析DNS解析日誌,您可以瞭解DNS解析的請求和響應過程,檢測異常的解析行為、DNS劫持、DNS汙染等問題。 | ||
local-dns | 記錄在本地DNS伺服器上的DNS查詢和響應的日誌,包括本地DNS請求和響應的詳細資料,包括請求網域名稱、查詢類型、用戶端IP地址、響應值等。 通過本地DNS日誌,您可以瞭解網路中的DNS查詢活動,檢測異常的查詢行為、網域名稱劫持和DNS汙染等問題 | ||
sas-log-session | 記錄網路連接和資料轉送的日誌,包括網路會話的詳細資料,包括會話開始時間、雙方IP地址、使用的協議和連接埠等。 網路會話日誌通常用於監控網路流量和識別潛在威脅、最佳化網路效能等。 |
主機日誌
日誌類型 | __topic__ | 描述 | 採集周期 |
aegis-log-login | 記錄使用者登入伺服器的日誌,包括登入時間、登入使用者、登入方式、登入IP地址等資訊。 登入流水日誌可以協助您監控使用者的活動,及時識別和響應異常行為,從而保障系統的安全性。 說明 Security Center不支援Windows Server 2008作業系統的登入流水日誌。 | 即時採集。 | |
aegis-log-network | 記錄網路連接活動的日誌,包括伺服器串連五元組、連線時間、串連狀態等資訊。 網路連接日誌可以協助您發現異常串連行為,識別潛在的網路攻擊,最佳化網路效能等。 說明 伺服器只收集網路連接從建立到結束過程中的部分狀態。 | 即時採集。 | |
aegis-log-process | 記錄伺服器上進程啟動相關的日誌,包括進程啟動時間、啟動命令、參數等資訊。 通過記錄和分析進程開機記錄,您可以瞭解系統中進程的啟動情況和配置資訊,檢測異常進程活動、惡意軟體入侵和安全威脅等問題。 | 即時採集,進程啟動立刻上報。 | |
aegis-log-crack | 記錄暴力破解行為的日誌,包括嘗試登入及破解系統、應用程式或帳號的資訊。 通過記錄和分析暴力破解日誌,您可以瞭解系統或應用程式受到的暴力破解攻擊,檢測異常的登入嘗試、弱密碼和憑證泄露等問題。暴力破解日誌還可以用於追蹤惡意使用者和取證分析,協助安全團隊進行事件響應和調查工作。 | 即時採集。 | |
aegis-snapshot-host | 記錄系統或應用程式中使用者帳號詳細資料的日誌,包括帳號的基本屬性,例如使用者名稱、密碼原則、登入歷史等。 通過比較不同時間點的帳號快照日誌,您可以瞭解使用者帳號的變化和演變情況,及時檢測潛在的帳號安全問題,例如未授權的帳號訪問、異常的帳號狀態等。 |
| |
aegis-snapshot-port | 記錄網路連接的日誌,包括串連五元組、串連狀態及關聯的進程資訊等欄位。 通過記錄和分析網路連接快照日誌,您可以瞭解系統中活動的網路通訊端情況,協助您發現異常串連行為,識別潛在的網路攻擊,最佳化網路效能等。 | ||
aegis-snapshot-process | 記錄系統中進程活動的日誌,包括進程ID、進程名稱、進程啟動時間等資訊。 通過記錄和分析進程快照日誌,您可以瞭解系統中進程的活動情況、資源佔用情況,檢測異常進程、CPU佔用和記憶體泄露等問題。 | ||
aegis-log-dns-query | 記錄DNS查詢請求的日誌,包括伺服器發送DNS查詢請求的詳細資料,例如查詢的網域名稱、查詢類型、查詢來源等資訊。 通過分析DNS請求日誌,您可以瞭解網路中的DNS查詢活動,檢測異常的查詢行為、網域名稱劫持和DNS汙染等問題 | 即時採集。 | |
aegis-log-client | 記錄Security Center用戶端的線上和離線事件。 | 即時採集。 |
安全日誌類型
日誌類型 | __topic__ | 描述 | 採集周期 |
sas-vul-log | 記錄系統或應用程式中發現的漏洞相關資訊的日誌,包括漏洞名稱、漏洞狀態、處理動作等資訊。 通過記錄和分析漏洞日誌,您可以瞭解系統中存在的漏洞情況、安全風險和攻擊趨勢,及時採取相應的補救措施。 | 即時採集。 | |
sas-hc-log | 記錄基準風險檢查結果的日誌,包括基準等級、基準類別、風險等級等資訊。 通過記錄和分析基準風險日誌,您可以瞭解系統的基準安全狀態和潛在的風險。 說明 僅記錄首次出現且未通過的檢查項資料,以及在歷史檢測中已通過但重新檢測後未通過的檢查項資料。 | ||
sas-security-log | 記錄系統或應用程式中發生的安全事件和警示資訊的日誌,包括警示資料來源、警示詳情、警示等級等資訊。 通過記錄和分析安全警示日誌,您可以瞭解系統中的安全事件和威脅情況,及時採取相應的響應措施。 | ||
sas-cspm-log | 記錄雲平台配置檢查相關的日誌,包括雲平台配置檢查的檢查結果、加白操作等資訊。 通過記錄和分析雲平台配置檢查日誌,您可以瞭解雲平台中存在的配置問題和潛在的安全風險。 | ||
sas-net-block | 記錄網路攻擊事件的日誌,包括攻擊類型、源IP地址、目標IP地址等關鍵資訊。 通過記錄和分析網路防禦日誌,您可以瞭解網路中發生的安全事件,進而採取相應的響應和防禦措施,提高網路的安全性和可靠性。 | ||
sas-rasp-log | 記錄應用防護功能的攻擊警示資訊的日誌,包括攻擊類型、行為資料、攻擊者IP等關鍵資訊。 通過記錄和分析應用防護警示日誌,您可以瞭解應用程式中發生的安全事件,進而採取相應的響應和防禦措施,提高應用程式的安全性和可靠性。 | ||
sas-filedetect-log | 記錄使用惡意檔案檢測SDK進行惡意檔案檢測的日誌,包括惡意檔案檢測的檔案資訊、檢測情境、檢測結果等資訊。 通過記錄和分析惡意檔案檢測日誌,您可以識別離線檔案和阿里雲OSS檔案中存在的常見病毒,例如勒索病毒、挖礦程式等,及時處理以防止惡意檔案傳播和執行。 |
費用說明
當Logstore的計費模式為按使用功能計費時,Log Service對專屬Logstore的讀寫流量、索引流量、儲存、shard數、讀寫次數不收取任何費用,但對外網流量、資料加工的計算、投遞的計算等會按照標準收費。更多資訊,請參見按使用功能計費模式計費項目。
當Logstore的計費模式為按寫入資料量計費時,Log Service對專屬Logstore的讀寫流量、索引流量、儲存、shard數、讀寫次數、資料加工、資料投遞等不收取任何費用,僅在Log Service進行外網資料讀取時將按照標準收費。更多資訊,請參見按寫入資料量計費模式計費項目。
Security Center日誌分析功能需要額外付費,由Security Center收取,費用說明請參見計費概述。