尊敬的阿里云用户:
为了提升云安全产品日志数据分析体验的一致性,阿里云云安全中心计划于2024年08月01日将日志字典从V1.0版本升级至V2.0。日志分析字典定义了日志分析功能支持采集和存储的字段的结构、含义和规范。V2.0版本的字典支持在多款阿里云安全产品(例如:云安全中心和云防火墙)中查询数据做联合分析,可以使用同一字段在不同产品中检索日志,为您提供更高效的检索服务。
日志字典V1.0和V2.0区别
V1.0为云安全中心日志分析在2024年08月01日前支持的日志数据采集方案,支持的具体字段及字段说明,请参见日志类别及字段说明V1.0。
V2.0为云安全中心在2024年08月01日发布的新版本日志数据采集方案,该方案在V1.0版本的基础上,优化了部分字段的名称(字段实质含义保持不变),新增了部分采集字段。使用V2.0字典,您可以采集到更完整的数据,且该版本可以被多个阿里云安全产品使用。V2.0版本字典支持的具体字段及字段说明,请参见日志类别及字段说明V2.0。
以下是V1和V2版本字典的具体差异,未在以下列表中的字段在V1和V2版本无变更。
网络日志
主机日志
安全日志
自动升级时间
自2024年08月01日起,所有通过购买云安全中心日志分析服务新创建的日志分析Logstore将直接采用V2.0版本字典。
对于在2024年08月01日前已创建的Logstore,云安全中心计划于2024年10月30日将新投递的数据字段自动升级至V2.0版本字典。在2024年10月30日前您可以继续使用V1.0版本字典,也可以手动将字典升级到V2.0版本字典升级不会影响已投递的日志数据,历史数据仍然完整可用。
如果在升级过程中遇到任何问题或需要进一步的帮助,您可以通过提交工单或随时与我们取得联系。
升级影响
如果您的阿里云账号未购买云安全中心增值服务日志分析,则您不会受到此次升级的影响。
如果您在2024年08月01日前已购买云安全中心日志分析服务,且存在下述消费日志或自定义告警的场景,您需要关注此变更,对消费日志分析数据的应用进行调整,并手动将日志字典版本升级到V2.0。
说明如果您无法2024年10月30日前完成改造工作,可前往云安全中心控制台申请延期三个月。延期后,云安全中心将会在2025年01月30日自动升级,您需要在此日期之前完成改造。改造完成后,您可在自动升级前手动将字典版本升级为V2.0。
场景
处理方案
通过SLS进行数据查询
升级字典版本后,您需要参考V2.0版本字典中的字段进行查询操作。
将SLS数据向外投递至其他数据库进行联合分析
修改SLS数据投递到其他数据库的日志投递字段映射关系。具体操作,请参见管理日志投递任务。
针对修改名称和新增的字段,建议您直接在字段映射关系中增加修改名称和新增字段的映射关系,以确保V2版本日志可以正常投递,并兼容V1版本已投递的数据。
手动将字典版本升级到V2.0。具体操作,请参见手动将字典版本升级到V2.0。
观察日志投递任务的状态是否正常,投递到数据库中的数据内容是否符合预期。
根据SLS字段设置了自定义告警
在2024年10月30日前调整自定义告警规则,使其可以与 V2.0版本字典相匹配。具体操作,请参见管理告警监控规则。
手动将字典版本升级到V2.0。具体操作,请参见手动将字典版本升级到V2.0。
将SLS数据投递至其他存储空间进行二次开发绘制统计报表
在2024年10月30日前完成相关应用适配V2.0版本字典的改造。
手动将字典版本升级到V2.0。具体操作,请参见手动将字典版本升级到V2.0。
观察日志投递状态是否正常,投递到数据库中的数据内容是否符合预期。
手动将字典版本升级到V2.0
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择 。
将鼠标指针移动至日志分析页面右上角字典版本:V1.0处,并单击立即升级。
在升级提示对话框,单击立即升级。