什么是日志审计服务_日志服务-阿里云帮助中心

本文介绍日志审计服务的功能特性、背景信息、应用场景、技术优势及覆盖的云产品。

功能特性

日志审计服务在继承现有日志服务所有功能外，还支持多账户下实时自动化、中心化采集云产品日志并进行审计，以及支持审计所需的存储、查询及信息汇总。日志审计服务覆盖基础（ActionTrail、容器服务Kubernetes版）、存储（OSS、NAS）、网络（SLB、ALB、API网关、VPC）、数据库（关系型数据库RDS、云原生分布式数据库PolarDB-X 1.0、云原生数据库PolarDB）、安全（WAF、DDoS防护、云防火墙、云安全中心）等产品，并支持自由对接其他生态产品或自有SOC中心。日志审计-005

背景信息

日志审计是法律刚性需求。
无论中国境内还是海外，企业落实日志审计越来越迫切。尤其中国内地于2017年实施了《网络安全法》、于2019年12月实施《网络安全等保2.0标准》。
日志审计是客户安全合规依赖的基础。
很多企业自身有成熟的法规条例以及合规审计团队，对账号设备的操作、网络行为、日志进行审计。客户可以直接消费原生各类日志，也可以使用日志审计服务提供的审计功能，构建并输出合规的审计信息。如果客户有安全中心（SOC），则可以直接消费日志审计中的日志，也可以使用阿里云安全中心消费日志。
日志审计是安全防护的重要一环。
根据FireEye M-Trends 2018报告，企业安全防护管理能力薄弱，尤其是亚太地区。全球范围内企业组织的攻击从发生到发现所需时长平均101天，而亚太地域平均需要498天。企业需要长期、可靠、无篡改的日志记录与审计支持来持续缩短这个时间。

应用场景

日志服务与审计场景
日志服务提供一站式数据采集、清洗、分析、可视化和告警功能。支持日志服务相关场景：DevOps、运营、安全、审计。
典型日志审计场景
日志审计一般分成如下4层需求。
- 基础需求：大部分中小企业客户需要自动化采集存储日志。他们的主要诉求是满足《网络安全等保2.0标准》中的最低要求，并脱离手工维护。
- 高级需求：跨国企业、大企业以及部分中型企业，存在多个部门之间独立结算并且在阿里云账号的使用上各自隔离，但是在审计的时候，需要自动化、统一采集相关日志。他们的主要诉求是除上述的基础诉求外，还希望中心化采集日志并支持多个账号的简单管理。这部分企业一般拥有审计系统，因此对日志审计的需求是能够实时、简单的对接。
- 更上层的需求：拥有专门合规团队的大公司，他们需要对日志进行监控、告警和分析。一部分客户采集数据到审计系统中进行操作。另一部分客户（尤其是计划在云上搭建一套新审计系统的客户）可以使用日志服务提供的审计支持（查询、分析、告警、可视化等）进行审计操作。
- 最顶端需求：拥有专业成熟审计合规团队的大企业，一般拥有自己的安全中心或审计系统，他们的核心需求是对接数据进行统一操作。
针对以上4类客户需求，日志服务的日志审计服务都可以比较好的满足。

技术优势

中心化采集
- 跨账号：支持将多个阿里云账号下的日志采集到一个阿里云账号下的Project中。您可以通过自定义鉴权管理模式或资源目录管理模式（推荐）配置多账号采集。更多信息，请参见配置多账号采集。
- 一键式采集：一次性配置采集策略后，即可完成跨账号自动实时发现新资源（例如新创建的RDS、SLB、OSS Bucket实例等）并实时采集日志。
- 中心化存储：将采集到的日志存储到某个地域的中心化Project中，方便后续查询分析、可视化与告警、二次开发等。
支持丰富的审计功能
- 继承日志服务现有的所有功能，包括查询分析、加工、报表、告警、导出等功能，支持审计场景下中心化的审计等需求。
- 生态开放对接：与开源软件、阿里云大数据产品、第三方SOC软件无缝对接，充分发挥数据价值。

云产品覆盖及相关资源

日志审计服务支持采集基础（ActionTrail、容器服务Kubernetes版）、存储（OSS、NAS）、网络（SLB、ALB、API网关、VPC）、数据库（关系型数据库RDS、云原生分布式数据库PolarDB-X 1.0、PolarDB云原生数据库）、安全（WAF、云防火墙、云安全中心、DDoS防护）等云产品日志。采集完成后，会自动存储到对应Logstore或Metricstore中，并生成对应的仪表盘。详细信息如下：


云产品	审计相关日志	采集地域	使用前提	日志服务资源
操作审计	RAM登录日志阿里云产品的资源操作日志通过OpenAPI的操作行为日志	华东1（杭州）、华东2（上海）、华北1（青岛）、华北2（北京）、华北3（张家口）、华北5（呼和浩特）、华北6（乌兰察布）、华南1（深圳）、华南2（河源）、华南3（广州）、中国（香港）、新加坡、澳大利亚（悉尼）、马来西亚（吉隆坡）、印度尼西亚（雅加达）、日本（东京）、美国（硅谷）、美国（弗吉尼亚）、德国（法兰克福）、英国（伦敦）、印度（孟买）、阿联酋（迪拜）	无	Logstore actiontrail_log 仪表盘 ActionTrail审计中心 ActionTrail核心配置中心 ActionTrail登录中心
配置审计	配置变更日志资源不合规事件	配置审计支持的全部地域	如果您需要在日志审计中采集、存储或查询配置审计日志，需要同意授权日志服务提取您在配置审计中记录的日志。授权后，您的配置审计日志将被自动推送到日志服务中。	Logstore cloudconfig_log 仪表盘无
负载均衡	HTTP或HTTPS侦听实例的7层网络日志	华东1（杭州）、华东2（上海）、华北1（青岛）、华北2（北京）、华北3（张家口）、华北5（呼和浩特）、华北6（乌兰察布）、华南1（深圳）、华南2（河源）、华南3（广州）、西南1（成都）、中国（香港）、新加坡、日本（东京）、马来西亚（吉隆坡）、印度尼西亚（雅加达）、菲律宾（马尼拉）、印度（孟买）、英国（伦敦）、阿联酋（迪拜）、澳大利亚（悉尼）、美国（硅谷）、美国（弗吉尼亚）、德国（法兰克福）	无	Logstore slb_log 仪表盘 SLB审计中心 SLB访问中心 SLB全局数据
应用型负载均衡	HTTP或HTTPS侦听实例的7层网络日志	华东1（杭州）、华东2（上海）、华北1（青岛）、华北2（北京）、华北3（张家口）、华北6（乌兰察布）、华南1（深圳）、华南3（广州）、西南1（成都）、中国（香港）、日本（东京）、新加坡、澳大利亚（悉尼）、马来西亚（吉隆坡）、印度尼西亚（雅加达）、德国（法兰克福）、美国（硅谷）、美国（弗吉尼亚）、印度（孟买）	无	Logstore alb_log 仪表盘 ALB操作中心 ALB访问中心
API网关	访问日志	所有在售地域	无	Logstore apigateway_log 仪表盘 API网关审计中心
VPC	流日志	华东1（杭州）、华东2（上海）、华北1（青岛）、华北2（北京）、华北3（张家口）、华北5（呼和浩特）、华北6（乌兰察布）、华南1（深圳）、华南2（河源）、华南3（广州）、西南1（成都）、中国（香港）、新加坡、澳大利亚（悉尼）、马来西亚（吉隆坡）、印度尼西亚（雅加达）、日本（东京）、美国（硅谷）、美国（弗吉尼亚）、阿联酋（迪拜）、德国（法兰克福）、印度（孟买）、英国（伦敦）	开启VPC或交换机的流日志捕获时，VPC或交换机内属于以下ECS实例规格族的实例不支持捕获流日志信息，其他满足要求的ECS实例可以正常捕获流日志信息。如果弹性网卡绑定的ECS实例属于以下实例规格族的实例时，不支持开启该弹性网卡的流日志捕获。 ecs.c1、ecs.c2、ecs.c4、ecs.ce4、ecs.cm4、ecs.d1、ecs.e3、ecs.e4、ecs.ga1、ecs.gn4、ecs.gn5、ecs.i1、ecs.m1、ecs.m2、ecs.mn4、ecs.n1、ecs.n2、ecs.n4、ecs.s1、ecs.s2、ecs.s3、ecs.se1、ecs.sn1、ecs.sn2、ecs.t1、ecs.xn4	Logstore vpc_log 仪表盘 VPC流日志概览 VPC流日志Reject中心 VPC流日志Traffic中心
DNS	内网DNS日志	华东2（上海）、华北2（北京）	无	Logstore dns_log 仪表盘无
Web应用防火墙	访问日志攻击日志	所有在售地域	旗舰版和企业版需在WAF控制台中购买日志服务模块。更多信息，请参见开通WAF日志服务。	Logstore waf_log 仪表盘 WAF审计中心 WAF安全中心 WAF访问中心
云安全中心	主机日志（8种）网络日志（4种）安全日志（3种）	华东1（杭州）、新加坡	企业版本需在SAS控制台中开通日志分析功能。更多信息，请参见开通日志分析功能。	Logstore sas_log 仪表盘 SAS安全告警中心 SAS网络连接中心 SAS DNS中心 SAS基线中心 SAS账户快照 SAS进程快照 SAS网络会话 SAS漏洞中心 SAS Web访问中心
云防火墙	互联网边界防火墙流量日志、VPC边界防火墙流量日志	不涉及	高级版本及以上需在云防火墙控制台中购买日志分析模块。更多信息，请参见开通日志分析功能。	Logstore cloudfirewall_log 仪表盘云防火墙审计中心
堡垒机	操作命令日志	所有在售地域	V3.2版本及以上	Logstore bastion_log 仪表盘无
对象存储	资源操作日志数据操作日志数据访问日志、计量日志过期文件删除日志 CDN回流日志	华东1（杭州）、华东2（上海）、华北1（青岛）、华北2（北京）、华北3（张家口）、华北5（呼和浩特）、华北6（乌兰察布）、华南1（深圳）、华南2（河源）、华南3（广州）、西南1（成都）、中国（香港）、新加坡、澳大利亚（悉尼）、马来西亚（吉隆坡）、印度尼西亚（雅加达）、菲律宾（马尼拉）、日本（东京）、韩国（首尔）、泰国（曼谷）、印度（孟买）、德国（法兰克福）、阿联酋（迪拜）、英国（伦敦）、美国（弗吉尼亚）、美国（硅谷）	无	Logstore oss_log 仪表盘 OSS审计中心 OSS访问中心 OSS运维中心 OSS性能中心 OSS全局数据
云数据库RDS	RDS MySQL审计日志 RDS MySQL慢日志 RDS MySQL性能日志 RDS MySQL错误日志 RDS PostgreSQL审计日志 RDS PostgreSQL慢日志 RDS PostgreSQL错误日志	RDS MySQL审计日志：除华东5（南京-本地地域）、华东6（福州-本地地域）、华南2（河源）、菲律宾（马尼拉）外的所有当前在售地域。 RDS MySQL慢日志、性能日志、错误日志：除华东5（南京-本地地域）、华东6（福州-本地地域）、菲律宾（马尼拉）外的所有当前在售地域。 RDS PostgreSQL审计日志：华东1（杭州）、华东2（上海）、华北1（青岛）、华北2（北京）、华北3（张家口）、华北5（呼和浩特）、华南1（深圳）、华南2（河源）、华南3（广州）、中国（香港）、新加坡、澳大利亚（悉尼）、马来西亚（吉隆坡）、印度尼西亚（雅加达）、德国（法兰克福）、美国（弗吉尼亚） RDS PostgreSQL慢日志、错误日志：华东1（杭州）、华东2（上海）、华北1（青岛）、华北2（北京）、华北3（张家口）、华北5（呼和浩特）、华北6（乌兰察布）、华南1（深圳）、华南2（河源）、华南3（广州）、西南1（成都）、中国（香港）、新加坡、澳大利亚（悉尼）、马来西亚（吉隆坡）、印度尼西亚（雅加达）、菲律宾（马尼拉）、德国（法兰克福）、英国（伦敦）、美国（弗吉尼亚）	审计日志 MySQL：不支持基础版 PostgreSQL：支持高可用版均需开启SQL洞察或审计功能，由日志审计服务自动开启。慢日志、错误日志 MySQL：不支持基础版 PostgreSQL：支持高可用版性能日志只支持非基础版的MySQL实例。	审计日志 Logstore rds_log 仪表盘 RDS审计中心 RDS审计安全中心 RDS审计性能中心 RDS全局数据慢日志、错误日志 Logstore rds_log 仪表盘无性能日志 Metricstore rds_metrics 仪表盘 RDS性能监控
云数据库PolarDB	PolarDB MySQL审计日志 PolarDB MySQL慢日志 PolarDB MySQL性能日志 PolarDB MySQL错误日志	所有在售地域	审计日志支持MySQL集群需开启SQL洞察或审计功能。由日志审计服务自动开启。慢日志、性能日志、错误日志只支持MySQL集群。	慢日志、审计日志、错误日志 Logstore polardb_log 仪表盘无性能日志 Metricstore polardb_metrics 仪表盘 PolarDB性能监控
PolarDB-X 1.0	PolarDB-X 1.0审计日志	华北1（青岛）、华南1（深圳）、华东2（上海）、华北2（北京）、华东1（杭州）、华北3（张家口）、西南1（成都）、中国（香港）	无	Logstore drds_log 仪表盘 DRDS运营中心 DRDS安全中心 DRDS性能中心
IDaaS	应用身份服务管理操作日志应用身份服务用户行为日志	华东1（杭州）	无	Logstore idaas_log 仪表盘无
文件存储	访问日志	所有在售地域	无	Logstore nas_log 仪表盘 NAS概览 NAS审计中心 NAS运维中心
移动推送	推送回调事件	中国内地	无	Logstore cps_log 仪表盘 Android回执中心 iOS回执中心
容器服务Kubernetes版	Kubernetes审计日志 Kubernetes事件中心 Ingress访问日志	华东2（上海）、华北2（北京）、华东1（杭州）、华南1（深圳）、华北5（呼和浩特）、华北3（张家口）、西南1（成都）、中国（香港）	针对Kubernetes的采集，需要您先手动开通对应的日志采集功能。说明必须使用自动创建的专属Project（k8s-log-{ClusterID}），暂不支持手动创建的Project。 Kubernetes相关日志采集依赖于数据加工功能，会产生相应的加工费用。更多信息，请参见计费项。暂不支持跨账号采集K8s相关的日志。 Kubernetes审计日志的使用前提请参见通过日志服务采集Kubernetes容器日志。 Kubernetes事件中心的使用前提请参见创建并使用K8s事件中心。 Ingress访问日志的使用前提请参见Nginx Ingress访问日志分析与监控。	Logstore k8s_log k8s_ingress_log 仪表盘 Kubernetes审计中心概览 Kubernetes事件中心 Kubernetes资源操作概览 Ingress概览 Ingress访问中心
DDoS防护	DDoS高防（新BGP）访问日志 DDoS高防（国际）访问日志 DDoS原生访问日志	不涉及	DDoS高防（新BGP）：已在DDoS高防（新BGP）控制台上购买全量日志分析模块。更多信息，请参见开通全量日志分析功能。 DDoS高防（国际）：已在DDoS高防（国际）控制台上购买全量日志分析模块。更多信息，请参见开通全量日志分析功能。 DDoS原生：已在DDoS原生控制台上购买全量日志分析模块。更多信息，请参见开通原生防护日志。	Logstore ddos_log 仪表盘 DDoS高防（国际）访问中心 DDoS高防（国际）运营中心 DDoS高防（新BGP）访问中心 DDoS高防（新BGP）运营中心 DDoS原生防护事件报表 DDoS原生清洗分析报表
应用集成	操作日志	不涉及	无	Logstore appconnect_log 仪表盘无

说明采集RDS或PolarDB实例重启后5分钟内产生的日志时，可能存在缺失。

金融云场景

在金融云场景中，日志审计服务在云产品覆盖和地域限制方面与公有云有所不同。

云产品覆盖

日志审计服务支持采集ActionTrail、SLB、API网关、RDS、堡垒机、DDoS防护和云防火墙的日志。


云产品	审计相关日志	采集地域	使用前提	日志服务资源
操作审计	RAM登录日志阿里云产品的资源操作日志通过OpenAPI的操作行为日志	华东2（上海）金融云	无	Logstore actiontrail_log 仪表盘 ActionTrail审计中心 ActionTrail核心配置中心 ActionTrail登录中心
负载均衡	HTTP或HTTPS侦听实例的7层网络日志	华东1（杭州）金融云、华东2（上海）金融云、华南1（深圳）金融云	无	Logstore slb_log 仪表盘 SLB审计中心 SLB访问中心 SLB全局数据
API网关	访问日志	华东1（杭州）金融云、华东2（上海）金融云、华南1（深圳）金融云	无	Logstore apigateway_log 仪表盘 API网关审计中心
云防火墙	互联网流量日志、边界防火墙流量日志	不涉及	高级版本及以上需在云防火墙控制台中购买日志分析模块。更多信息，请参见开通日志分析功能。	Logstore cloudfirewall_log 仪表盘云防火墙审计中心
关系数据库RDS	RDS审计日志 MySQL慢日志	华东1（杭州）金融云、华东2（上海）金融云、华南1（深圳）金融云	审计日志 MySQL：不支持基础版 PostgreSQL、Microsoft SQL Server：无限制均需开启SQL洞察或审计功能。由日志审计服务自动开启。慢日志只支持非基础版的MySQL实例。	审计日志 Logstore rds_log 仪表盘 RDS审计中心 RDS审计安全中心 RDS审计性能中心 RDS全局数据慢日志 Logstore rds_log 仪表盘无
堡垒机	操作命令日志	华东1（杭州）金融云、华东2（上海）金融云、华东3（深圳）金融云	V3.2版本及以上	Logstore bastion_log 仪表盘无
DDoS防护	DDoS高防（新BGP）访问日志	不涉及	已在DDoS高防（新BGP）控制台上购买全量日志分析模块。更多信息，请参见开通全量日志分析功能。	Logstore ddos_log 仪表盘 DDoS高防（新BGP）访问中心 DDoS高防（新BGP）运营中心

地域限制
采用中心化存储时，日志审计服务从各个阿里云账号的各个地域采集到的日志，会存储到中心阿里云账号下的一个中心化Project中，目前中心化存储可供选择的地域包括华东1（杭州）金融云、华东2（上海）金融云和华南1（深圳）金融云。更多信息，请参见使用限制。