阿里云日志服务联合云安全中心联合推出日志分析功能,提供风险威胁数据的实时采集、查询与分析、加工、消费等一站式服务,帮助您全面了解、有效处理服务器的安全隐患,实现对云上资产的集中安全管理。 本文介绍云安全中心日志分析功能相关的资产详情、费用及使用限制。
使用限制
专属Logstore不支持写入其他数据,不支持修改属性信息(例如数据存储时长)。
根据《网络安全法》日志至少存储180天的要求,推荐每台服务器配置40GB的日志存储容量。
云安全中心免费版不支持开通日志分析功能。云安全中心旗舰版、企业版支持查看网络日志、安全日志和主机日志,高级版、防病毒版仅支持查看安全日志和主机日志。不同版本的区别,请参见计费概述。
资产详情
专属Project和Logstore
开通日志分析功能后,系统默认创建一个名为sas-log-阿里云账号ID-地域ID的Project,以及一个名为sas-log的专属Logstore。地域说明如下表所示。
云安全中心地域
Project所属地域
中国
华东1(杭州)
全球(不含中国)
新加坡
重要请勿删除云安全中心日志相关的Project和Logstore,否则将无法正常推送日志到日志服务。
如果您误删了专属Logstore,系统提示sas-log Logstore不存在,并且您当前Logstore的所有日志数据丢失。这种情况下,您需提交工单重置处理。重置后您需重新开通日志分析服务,已丢失的日志数据无法恢复。
若您曾开通过按写入数据量计费模式,则系统默认创建计费模式为按写入数据量计费的专属Logstore。若您需要切换至按使用功能计费模式,可修改Logstore配置,具体操作,请参见修改Logstore配置。
专属仪表盘
日志分析功能覆盖3大类,默认生成9个仪表盘。
重要专属仪表盘可能随时进行升级与更新,建议您不要修改专属仪表盘。您可以自定义仪表盘用于查询结果展示。更多信息,请参见创建仪表盘。
支持的日志类型
云安全中心企业版和旗舰版支持主机、安全和网络三大类的16种子类日志;防病毒版和高级版仅支持主机和安全两大类的12种子类日志。
网络日志
日志类型 | __topic__ | 描述 | 采集周期 |
sas-log-http | 记录用户请求Web服务器和Web服务器响应的日志,包括HTTP请求的详细信息,例如用户IP地址、请求时间、请求方法、请求URL、HTTP状态码、响应大小等。 Web访问日志通常用于分析Web流量和用户行为、识别访问模式和异常情况、优化网站性能等。 | 数据延迟采集,延迟时间一般为:1~12小时 | |
sas-log-dns | 记录DNS解析过程详细信息的日志,包括请求域名、查询类型、客户端IP地址、响应值等信息。 通过分析DNS解析日志,您可以了解DNS解析的请求和响应过程,检测异常的解析行为、DNS劫持、DNS污染等问题。 | ||
local-dns | 记录在本地DNS服务器上的DNS查询和响应的日志,包括本地DNS请求和响应的详细信息,包括请求域名、查询类型、客户端IP地址、响应值等。 通过本地DNS日志,您可以了解网络中的DNS查询活动,检测异常的查询行为、域名劫持和DNS污染等问题 | ||
sas-log-session | 记录网络连接和数据传输的日志,包括网络会话的详细信息,如会话开始时间、双方IP地址、使用的协议和端口等。 网络会话日志通常用于监控网络流量、识别潜在威胁、优化网络性能等。 |
主机日志
日志类型 | __topic__ | 描述 | 采集周期 |
aegis-log-login | 记录用户登录服务器的日志,包括登录时间、登录用户、登录方式、登录IP地址等信息。 登录流水日志可以帮助您监控用户的活动,及时识别和响应异常行为,从而保障系统的安全性。 说明 云安全中心不支持Windows Server 2008操作系统的登录流水日志。 | 实时采集。 | |
aegis-log-network | 记录网络连接活动的日志,包括服务器连接五元组、连接时间、连接状态等信息。 网络连接日志可以帮助您发现异常连接行为,识别潜在的网络攻击,优化网络性能等。 说明
| 实时采集。 | |
aegis-log-process | 记录服务器上进程启动相关的日志,包括进程启动时间、启动命令、参数等信息。 通过记录和分析进程启动日志,您可以了解系统中进程的启动情况和配置信息,检测异常进程活动、恶意软件入侵和安全威胁等问题。 | 实时采集,进程启动立刻上报。 | |
aegis-log-crack | 记录暴力破解行为的日志,包括尝试登录及破解系统、应用程序或账号的信息。 通过记录和分析暴力破解日志,您可以了解系统或应用程序受到的暴力破解攻击,检测异常的登录尝试、弱密码和凭证泄露等问题。暴力破解日志还可以用于追踪恶意用户和取证分析,协助安全团队进行事件响应和调查工作。 | 实时采集。 | |
aegis-snapshot-host | 记录系统或应用程序中用户账号详细信息的日志,包括账号的基本属性,例如用户名、密码策略、登录历史等。 通过比较不同时间点的账号快照日志,您可以了解用户账号的变化和演变情况,及时检测潜在的账号安全问题,例如未授权的账号访问、异常的账号状态等。 |
| |
aegis-snapshot-port | 记录网络连接的日志,包括连接五元组、连接状态及关联的进程信息等字段。 通过记录和分析网络连接快照日志,您可以了解系统中活动的网络套接字情况,帮助您发现异常连接行为,识别潜在的网络攻击,优化网络性能等。 | ||
aegis-snapshot-process | 记录系统中进程活动的日志,包括进程ID、进程名称、进程启动时间等信息。 通过记录和分析进程快照日志,您可以了解系统中进程的活动情况、资源占用情况,检测异常进程、CPU占用和内存泄露等问题。 | ||
aegis-log-dns-query | 记录DNS查询请求的日志,包括服务器发送DNS查询请求的详细信息,例如查询的域名、查询类型、查询来源等信息。 通过分析DNS请求日志,您可以了解网络中的DNS查询活动,检测异常的查询行为、域名劫持和DNS污染等问题 | 实时采集。 | |
aegis-log-client | 记录云安全中心客户端的上线和离线事件。 | 实时采集。 |
安全日志类型
日志类型 | __topic__ | 描述 | 采集周期 |
sas-vul-log | 记录系统或应用程序中发现的漏洞相关信息的日志,包括漏洞名称、漏洞状态、处理动作等信息。 通过记录和分析漏洞日志,您可以了解系统中存在的漏洞情况、安全风险和攻击趋势,及时采取相应的补救措施。 | 实时采集。 | |
sas-hc-log | 记录基线风险检查结果的日志,包括基线等级、基线类别、风险等级等信息。 通过记录和分析基线风险日志,您可以了解系统的基线安全状态和潜在的风险。 说明 仅记录首次出现且未通过的检查项数据,以及在历史检测中已通过但重新检测后未通过的检查项数据。 | ||
sas-security-log | 记录系统或应用程序中发生的安全事件和告警信息的日志,包括告警数据源、告警详情、告警等级等信息。 通过记录和分析安全告警日志,您可以了解系统中的安全事件和威胁情况,及时采取相应的响应措施。 | ||
sas-cspm-log | 记录云安全态势管理相关的日志,包括云安全态势管理的检查结果、加白操作等信息。 通过记录和分析云安全态势管理日志,您可以了解云平台中存在的配置问题和潜在的安全风险。 | ||
sas-net-block | 记录网络攻击事件的日志,包括攻击类型、源IP地址、目标IP地址等关键信息。 通过记录和分析网络防御日志,您可以了解网络中发生的安全事件,进而采取相应的响应和防御措施,提高网络的安全性和可靠性。 | ||
sas-rasp-log | 记录应用防护功能的攻击告警信息的日志,包括攻击类型、行为数据、攻击者IP等关键信息。 通过记录和分析应用防护告警日志,您可以了解应用程序中发生的安全事件,进而采取相应的响应和防御措施,提高应用程序的安全性和可靠性。 | ||
sas-filedetect-log | 记录使用恶意文件检测SDK进行恶意文件检测的日志,包括恶意文件检测的文件信息、检测场景、检测结果等信息。 通过记录和分析恶意文件检测日志,您可以识别离线文件和阿里云OSS文件中存在的常见病毒,例如勒索病毒、挖矿程序等,及时处理以防止恶意文件传播和执行。 |
费用说明
当Logstore的计费模式为按使用功能计费时,日志服务对专属Logstore的读写流量、索引流量、存储、shard数、读写次数不收取任何费用,但对外网流量、数据加工的计算、投递的计算等会按照标准收费。更多信息,请参见按使用功能计费模式计费项。
当Logstore的计费模式为按写入数据量计费时,日志服务对专属Logstore的读写流量、索引流量、存储、shard数、读写次数、数据加工、数据投递等不收取任何费用,仅在日志服务进行外网数据读取时将按照标准收费。更多信息,请参见按写入数据量计费模式计费项。
云安全中心日志分析功能需要额外付费,由云安全中心收取,费用说明请参见计费概述。