使用前须知

阿里云日志服务联合云安全中心联合推出日志分析功能,提供风险威胁数据的实时采集、查询与分析、加工、消费等一站式服务,帮助您全面了解、有效处理服务器的安全隐患,实现对云上资产的集中安全管理。 本文介绍云安全中心日志分析功能相关的资产详情、费用及使用限制。

使用限制

  • 专属Logstore不支持写入其他数据,不支持修改属性信息(例如数据存储时长)。

  • 根据《网络安全法》日志至少存储180天的要求,推荐每台服务器配置40GB的日志存储容量。

  • 云安全中心免费版不支持开通日志分析功能。云安全中心旗舰版企业版支持查看网络日志、安全日志和主机日志,高级版防病毒版仅支持查看安全日志和主机日志。不同版本的区别,请参见计费概述

资产详情

  • 专属Project和Logstore

    开通日志分析功能后,系统默认创建一个名为sas-log-阿里云账号ID-地域ID的Project,以及一个名为sas-log的专属Logstore。地域说明如下表所示。

    云安全中心地域

    Project所属地域

    中国

    华东1(杭州)

    全球(不含中国)

    新加坡

    重要
    • 请勿删除云安全中心日志相关的Project和Logstore,否则将无法正常推送日志到日志服务。

      如果您误删了专属Logstore,系统提示sas-log Logstore不存在,并且您当前Logstore的所有日志数据丢失。这种情况下,您需提交工单重置处理。重置后您需重新开通日志分析服务,已丢失的日志数据无法恢复。

    • 若您曾开通过按写入数据量计费模式,则系统默认创建计费模式为按写入数据量计费的专属Logstore。若您需要切换至按使用功能计费模式,可修改Logstore配置,具体操作,请参见修改Logstore配置

  • 专属仪表盘

    日志分析功能覆盖3大类,默认生成9个仪表盘。

    重要

    专属仪表盘可能随时进行升级与更新,建议您不要修改专属仪表盘。您可以自定义仪表盘用于查询结果展示。更多信息,请参见创建仪表盘

支持的日志类型

云安全中心企业版和旗舰版支持主机、安全和网络三大类的16种子类日志;防病毒版和高级版仅支持主机和安全两大类的12种子类日志。

网络日志

日志类型

__topic__

描述

采集周期

Web访问日志

sas-log-http

记录用户请求Web服务器和Web服务器响应的日志,包括HTTP请求的详细信息,例如用户IP地址、请求时间、请求方法、请求URL、HTTP状态码、响应大小等。

Web访问日志通常用于分析Web流量和用户行为、识别访问模式和异常情况、优化网站性能等。

数据延迟采集,延迟时间一般为:1~12小时

DNS解析日志

sas-log-dns

记录DNS解析过程详细信息的日志,包括请求域名、查询类型、客户端IP地址、响应值等信息。

通过分析DNS解析日志,您可以了解DNS解析的请求和响应过程,检测异常的解析行为、DNS劫持、DNS污染等问题。

本地DNS日志

local-dns

记录在本地DNS服务器上的DNS查询和响应的日志,包括本地DNS请求和响应的详细信息,包括请求域名、查询类型、客户端IP地址、响应值等。

通过本地DNS日志,您可以了解网络中的DNS查询活动,检测异常的查询行为、域名劫持和DNS污染等问题

网络会话日志

sas-log-session

记录网络连接和数据传输的日志,包括网络会话的详细信息,包括会话开始时间、双方IP地址、使用的协议和端口等。

网络会话日志通常用于监控网络流量和识别潜在威胁、优化网络性能等。

主机日志

日志类型

__topic__

描述

采集周期

登录流水日志

aegis-log-login

记录用户登录服务器的日志,包括登录时间、登录用户、登录方式、登录IP地址等信息。

登录流水日志可以帮助您监控用户的活动,及时识别和响应异常行为,从而保障系统的安全性。

说明

云安全中心不支持Windows Server 2008操作系统的登录流水日志。

实时采集。

网络连接日志

aegis-log-network

记录网络连接活动的日志,包括服务器连接五元组、连接时间、连接状态等信息。

网络连接日志可以帮助您发现异常连接行为,识别潜在的网络攻击,优化网络性能等。

说明

服务器只收集网络连接从建立到结束过程中的部分状态。

实时采集。

进程启动日志

aegis-log-process

记录服务器上进程启动相关的日志,包括进程启动时间、启动命令、参数等信息。

通过记录和分析进程启动日志,您可以了解系统中进程的启动情况和配置信息,检测异常进程活动、恶意软件入侵和安全威胁等问题。

实时采集,进程启动立刻上报。

暴力破解日志

aegis-log-crack

记录暴力破解行为的日志,包括尝试登录及破解系统、应用程序或账号的信息。

通过记录和分析暴力破解日志,您可以了解系统或应用程序受到的暴力破解攻击,检测异常的登录尝试、弱密码和凭证泄露等问题。暴力破解日志还可以用于追踪恶意用户和取证分析,协助安全团队进行事件响应和调查工作。

实时采集。

账号快照日志

aegis-snapshot-host

记录系统或应用程序中用户账号详细信息的日志,包括账号的基本属性,例如用户名、密码策略、登录历史等。

通过比较不同时间点的账号快照日志,您可以了解用户账号的变化和演变情况,及时检测潜在的账号安全问题,例如未授权的账号访问、异常的账号状态等。

  • 开启资产指纹自动采集功能时,按照设定的周期自动采集。资产指纹自动采集的更多信息,请参见资产指纹调查

  • 未开启资产指纹自动采集功能时,每台服务器一天非固定时间收集一次。

网络快照日志

aegis-snapshot-port

记录网络连接的日志,包括连接五元组、连接状态及关联的进程信息等字段。

通过记录和分析网络连接快照日志,您可以了解系统中活动的网络套接字情况,帮助您发现异常连接行为,识别潜在的网络攻击,优化网络性能等。

进程快照日志

aegis-snapshot-process

记录系统重进程活动的日志,包括进程ID、进程名称、进程启动时间等信息。

通过记录和分析进程快照日志,您可以了解系统中进程的活动情况、资源占用情况,检测异常进程、CPU占用和内存泄露等问题。

DNS请求日志

aegis-log-dns-query

记录DNS查询请求的日志,包括服务器发送DNS查询请求的详细信息,例如查询的域名、查询类型、查询来源等信息。

通过分析DNS请求日志,您可以了解网络中的DNS查询活动,检测异常的查询行为、域名劫持和DNS污染等问题。

实时采集。

安全日志类型

日志类型

__topic__

描述

采集周期

漏洞日志

sas-vul-log

记录系统或应用程序中发现的漏洞相关信息的日志,包括漏洞名称、漏洞状态、处理动作等信息。

通过记录和分析漏洞日志,您可以了解系统中存在的漏洞情况、安全风险和攻击趋势,及时采取相应的补救措施。

实时采集。

基线日志

sas-hc-log

记录基线风险检查结果的日志,包括基线等级、基线类别、风险等级等信息。

通过记录和分析基线风险日志,您可以了解系统的基线安全状态和潜在的风险。

说明

仅记录首次出现且未通过的检查项数据,以及在历史检测中已通过但重新检测后未通过的检查项数据。

安全告警日志

sas-security-log

记录系统或应用程序中发生的安全事件和告警信息的日志,包括告警数据源、告警详情、告警等级等信息。

通过记录和分析安全告警日志,您可以了解系统中的安全事件和威胁情况,及时采取相应的响应措施。

云平台配置检查日志

sas-cspm-log

记录云平台配置检查相关的日志,包括云平台配置检查的检查结果、加白操作等信息。

通过记录和分析云平台配置检查日志,您可以了解云平台中存在的配置问题和潜在的安全风险。

网络防御日志

sas-net-block

记录网络攻击事件的日志,包括攻击类型、源IP地址、目标IP地址等关键信息。

通过记录和分析网络防御日志,您可以了解网络中发生的安全事件,进而采取相应的响应和防御措施,提高网络的安全性和可靠性。

应用防护日志

sas-rasp-log

记录应用防护功能的攻击告警信息的日志,包括攻击类型、行为数据、攻击者IP等关键信息。

通过记录和分析应用防护告警日志,您可以了解应用程序中发生的安全事件,进而采取相应的响应和防御措施,提高应用程序的安全性和可靠性。

费用说明

  • 当Logstore的计费模式为按使用功能计费时,日志服务对专属Logstore的读写流量、索引流量、存储、shard数、读写次数不收取任何费用,但对外网流量、数据加工的计算、投递的计算等会按照标准收费。更多信息,请参见按使用功能计费模式计费项

  • 当Logstore的计费模式为按写入数据量计费时,日志服务对专属Logstore的读写流量、索引流量、存储、shard数、读写次数、数据加工、数据投递等不收取任何费用,仅在日志服务进行外网数据读取时将按照标准收费。更多信息,请参见按写入数据量计费模式计费项

  • 云安全中心日志分析功能需要额外付费,由云安全中心收取,费用说明请参见计费概述

后续步骤