开通日志分析服务后,如果云防火墙日志分析的默认配置(包括采集的日志类型、存储地域、存储时长)不满足您的业务需求,您可以根据业务需要调整日志存储配置,包括修改采集的日志类型、日志的投递地域以及日志存储时长,确保日志管理方案与您的业务战略保持一致。
前提条件
已开通云防火墙日志分析服务。具体操作,请参见日志分析概述。
设置日志采集类型
日志分析提供了实时采集资产流量日志的功能,支持对搜集的数据进行即时检索和分析,并通过直观的仪表盘展示结果,便于您对资产的访问模式和潜在攻击行为进行快速分析,为制定有效的防护措施提供了关键支持。
采集的日志类型
云防火墙支持采集的流量日志包括:
互联网流量日志
攻击事件日志:命中互联网边界防火墙入侵防御规则的流量日志。
访问控制日志:命中互联网边界防火墙访问控制策略的流量日志。
其他流量日志:其他经过互联网边界防火墙的流量日志。
VPC流量日志
攻击事件日志:命中VPC边界防火墙入侵防御规则的流量日志。
访问控制日志:命中VPC边界防火墙访问控制策略的流量日志。
其他流量日志:其他经过VPC边界防火墙的流量日志。
DNS流量日志:所有经过DNS边界防火墙的流量日志。
IPv6流量日志:命中互联网边界防火墙IPv6访问控制策略的流量日志。
NAT流量日志:所有经过NAT边界防火墙的流量日志。
云防火墙默认开启所有日志类型的投递开关,您可以按需修改投递开关状态。
关闭投递功能,不会自动删除Project及已投递的日志,但云防火墙不再采集对应类型的日志。
修改日志投递开关
登录云防火墙控制台。
在左侧导航栏,选择
在页面右上方,单击投递开关,修改日志类型的投递开关。
修改日志存储地域
日志分析采集的日志默认存储在新加坡地域,如果您的业务不是部署在该地域,可能会带来额外的跨地域日志同步费用、数据无法对接等问题。为了避免此类问题,您可以将日志存储地域修改为您业务所在或离您业务较近的地域。
切换日志分析的投递地域之前,请知悉:
包年包月切换后原日志将丢失,请在切换前提前备份日志。按量付费版切换后原日志库不会删除,请按需保留或删除原日志库。
切换过程预计需要5~10分钟完成,在此期间请勿执行与日志相关的其他操作。
切换期间的日志将不会投递和存储,建议在业务低峰期进行切换。
如果出现切换超时,请隔5~10分钟后刷新检查是否完成。如仍有问题,请提工单咨询。
登录云防火墙控制台。
在左侧导航栏,选择。
在页面右上方,单击日志投递区域,修改日志的投递地域。
修改日志存储时长
日志默认存储时长为180天,超过存储时长的日志将被自动删除且不可恢复。您可以根据日志存储容量和实际需要修改日志存储时长,日志存储时长支持设置为7~730天。如果您开通的是按量版云防火墙,且有更高的存储需求,可以通过日志服务修改存储时长。
日志存储空间满,将不会再采集新的日志,请合理设置日志存储时长,并定期关注日志存储空间的使用情况。
日志存储时长修改生效后,云防火墙日志分析服务将只存储指定时长范围内的日志,并自动删除超出存储时长的日志。自动删除需要1~2小时生效。
例如,您将日志存储时间由原来的180天修改为30天,保存生效后,超过30天的日志将被自动删除。
登录云防火墙控制台。
在左侧导航栏,选择。
在页面右上方,单击日志存储时长,修改日志的存储时间后,单击保存。
管理日志存储空间
按量版无日志存储空间限制。
为避免因日志存储空间占满,新的日志数据无法写入专属日志库而造成日志数据不完整的情况,建议您定期关注日志存储空间的使用情况。
登录云防火墙控制台。
在左侧导航栏,选择。
在日志查询页面右上方,查看日志使用情况。
该页面显示的日志存储空间用量并非实时更新,与实际使用情况存在两个小时的延迟。因此,当日志存储空间即将满时,请提前升级容量或清除日志。
(可选)如果日志空间使用率即将满,您可以升级日志存储容量或清空存量日志。
警告日志清空后将无法复原,请谨慎使用清空功能。
升级存储容量:在日志查询页面右上方,单击升级容量,选择更大的日志存储容量规格,并完成扩容费用支付。
说明日志分析存储容量的扩展费用:80美元/1,000 GB/月。购买的月份与云防火墙实例的服务时长一致,暂不支持修改。
清空存量日志:在日志查询页面右上方,单击清空,然后在弹出的提示框中单击确定。清空日志约需要1~2小时。
说明开通云防火墙日志服务后,您会获取4次清空日志存储空间的机会。每次续费云防火墙服务时,清空日志存储空间的机会将重新刷新,即重新获得4次机会。