日志审计服务概述

本文介绍日志审计服务的功能特性、背景信息、应用场景、技术优势及覆盖的云产品。

产品试用

SLS Playground中的日志审计服务Demo,内置了演示数据、可视化图表等资源,提供了完整的演示环境,便于您快速了解及体验功能。

您可以单击日志审计服务,进行试用。

重要

SLS Playground中的数据为演示数据,请勿用于生产环境。

功能特性

日志审计服务在继承现有日志服务所有功能外,还支持多账户下实时自动化、中心化采集云产品日志并进行审计,以及支持审计所需的存储、查询及信息汇总。日志审计服务覆盖基础(ActionTrail、容器服务Kubernetes版)、存储(OSS、NAS)、网络(SLB、ALB、API网关、VPC)、数据库(关系型数据库RDS、云原生分布式数据库PolarDB-X 1.0、云原生数据库PolarDB)、安全(WAF、DDoS防护、云防火墙、云安全中心)等产品,并支持自由对接其他生态产品或自有SOC中心。

image

背景信息

  • 日志审计是法律刚性需求。

    无论中国境内还是海外,企业落实日志审计越来越迫切。尤其中国内地于2017年实施了《网络安全法》、于2019年12月实施《网络安全等保2.0标准》。日志审计-001

  • 日志审计是客户安全合规依赖的基础。

    很多企业自身有成熟的法规条例以及合规审计团队,对账号设备的操作、网络行为、日志进行审计。客户可以直接消费原生各类日志,也可以使用日志审计服务提供的审计功能,构建并输出合规的审计信息。如果客户有安全中心(SOC),则可以直接消费日志审计中的日志,也可以使用阿里云安全中心消费日志。

    image
  • 日志审计是安全防护的重要一环。

    根据FireEye M-Trends 2018报告,企业安全防护管理能力薄弱,尤其是亚太地区。全球范围内企业组织的攻击从发生到发现所需时长平均101天,而亚太地域平均需要498天。企业需要长期、可靠、无篡改的日志记录与审计支持来持续缩短这个时间。

应用场景

  • 日志服务与审计场景

    日志服务提供一站式数据采集、清洗、分析、可视化和告警功能。支持日志服务相关场景:DevOps、运营、安全、审计。

    image
  • 典型日志审计场景

    日志审计一般分成如下4层需求。日志审计-004

    • 基础需求:大部分中小企业客户需要自动化采集存储日志。他们的主要诉求是满足《网络安全等保2.0标准》中的最低要求,并脱离手工维护。

    • 高级需求:跨国企业、大企业以及部分中型企业,存在多个部门之间独立结算并且在阿里云账号的使用上各自隔离,但是在审计的时候,需要自动化、统一采集相关日志。他们的主要诉求是除上述的基础诉求外,还希望中心化采集日志并支持多个账号的简单管理。这部分企业一般拥有审计系统,因此对日志审计的需求是能够实时、简单的对接。

    • 更上层的需求:拥有专门合规团队的大公司,他们需要对日志进行监控、告警和分析。一部分客户将数据采集到审计系统中进行操作。另一部分客户(尤其是计划在云上搭建一套新审计系统的客户)可以使用日志服务提供的审计支持(查询、分析、告警、可视化等)进行审计操作。

    • 最顶端需求:拥有专业成熟审计合规团队的大企业,一般拥有自己的安全中心或审计系统,他们的核心需求是对接数据进行统一操作。

    针对以上4类客户需求,日志服务的日志审计服务都可以比较好的满足。

技术优势

  • 中心化采集

    • 跨账号:支持将多个阿里云账号下的日志采集到一个阿里云账号下的Project中。您可以通过自定义鉴权管理模式或资源目录管理模式(推荐)配置多账号采集。更多信息,请参见采集多账号云产品日志

    • 一键式采集:一次性配置采集策略后,即可完成跨账号自动实时发现新资源(例如新创建的RDS、SLB、OSS Bucket实例等)并实时采集日志。

    • 中心化存储:将采集到的日志存储到某个地域的中心化Project中,方便后续查询分析、可视化与告警、二次开发等。

  • 支持丰富的审计功能

    • 继承日志服务现有的所有功能,包括查询分析、加工、报表、告警、导出等功能,支持审计场景下中心化的审计等需求。

    • 生态开放对接:与开源软件、阿里云大数据产品、第三方SOC软件无缝对接,充分发挥数据价值。

云产品覆盖及相关资源

日志审计服务支持采集基础(ActionTrail、容器服务Kubernetes版)、存储(OSS、NAS)、网络(SLB、ALB、API网关、VPC)、数据库(关系型数据库RDS、云原生分布式数据库PolarDB-X 1.0、PolarDB云原生数据库)、安全(WAF、云防火墙、云安全中心、DDoS防护)等云产品日志。采集完成后,会自动存储到对应Logstore或Metricstore中,并生成对应的仪表盘。详细信息如下:

云产品

审计相关日志

采集地域

使用前提

日志服务资源

操作审计

  • RAM登录日志

  • 阿里云产品的资源操作日志

  • 通过OpenAPI的操作行为日志

华东1(杭州)、华东2(上海)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华北6(乌兰察布)、华南1(深圳)、华南2(河源)、华南3(广州)、中国(香港)、新加坡、马来西亚(吉隆坡)、印度尼西亚(雅加达)、日本(东京)、美国(硅谷)、美国(弗吉尼亚)、德国(法兰克福)、英国(伦敦)、阿联酋(迪拜)

  • Logstore

    actiontrail_log

  • 仪表盘

    • ActionTrail审计中心

    • ActionTrail核心配置中心

    • ActionTrail登录中心

配置审计

  • 配置变更日志

  • 资源不合规事件

配置审计支持的全部地域

如果您需要在日志审计中采集、存储或查询配置审计日志,需要同意授权日志服务提取您在配置审计中记录的日志。授权后,您的配置审计日志将被自动推送到日志服务中。

  • Logstore

    cloudconfig_log

  • 仪表盘

负载均衡

HTTP或HTTPS侦听实例的7层网络日志

华东1(杭州)、华东2(上海)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华北6(乌兰察布)、华南1(深圳)、华南2(河源)、华南3(广州)、西南1(成都)、中国(香港)、新加坡、日本(东京)、马来西亚(吉隆坡)、印度尼西亚(雅加达)、菲律宾(马尼拉)、英国(伦敦)、阿联酋(迪拜)、美国(硅谷)、美国(弗吉尼亚)、德国(法兰克福)

  • Logstore

    slb_log

  • 仪表盘

    • SLB审计中心

    • SLB访问中心

    • SLB全局数据

应用型负载均衡

HTTP或HTTPS侦听实例的7层网络日志

华东1(杭州)、华东2(上海)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北6(乌兰察布)、华南1(深圳)、华南3(广州)、西南1(成都)、中国(香港)、日本(东京)、新加坡、马来西亚(吉隆坡)、印度尼西亚(雅加达)、德国(法兰克福)、美国(硅谷)、美国(弗吉尼亚)

  • Logstore

    alb_log

  • 仪表盘

    • ALB操作中心

    • ALB访问中心

API网关

访问日志

所有在售地域

  • Logstore

    apigateway_log

  • 仪表盘

    API网关审计中心

VPC

流日志

华东1(杭州)、华东2(上海)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华北6(乌兰察布)、华南1(深圳)、华南2(河源)、华南3(广州)、西南1(成都)、中国(香港)、新加坡、马来西亚(吉隆坡)、印度尼西亚(雅加达)、日本(东京)、美国(硅谷)、美国(弗吉尼亚)、阿联酋(迪拜)、德国(法兰克福)、英国(伦敦)

  • 开启VPC或交换机的流日志捕获时,VPC或交换机内属于以下ECS实例规格族的实例不支持捕获流日志信息,其他满足要求的ECS实例可以正常捕获流日志信息。

  • 如果弹性网卡绑定的ECS实例属于以下实例规格族的实例时,不支持开启该弹性网卡的流日志捕获。

ecs.c1、ecs.c2、ecs.c4、ecs.ce4、ecs.cm4、ecs.d1、ecs.e3、ecs.e4、ecs.ga1、ecs.gn4、ecs.gn5、ecs.i1、ecs.m1、ecs.m2、ecs.mn4、ecs.n1、ecs.n2、ecs.n4、ecs.s1、ecs.s2、ecs.s3、ecs.se1、ecs.sn1、ecs.sn2、ecs.t1、ecs.xn4

  • Logstore

    vpc_log

  • 仪表盘

    • VPC流日志概览

    • VPC流日志Reject中心

    • VPC流日志Traffic中心

DNS

内网DNS日志

华东1(杭州)、华东2(上海)、华北1(青岛)、华北2(北京)、华北3(张家口)、华南1(深圳)、华南3(广州)、中国(香港)、新加坡

前往新版DNS控制台,开通云解析PrivateZone服务。

  • Logstore

    dns_log

  • 仪表盘

公网DNS日志

不涉及

  • 前往权威域名解析,开通DNS流量分析服务,并开启相关域名的流量分析功能。

  • 暂不支持中文域名日志转存

  • Logstore

    dns_log

  • 仪表盘

全局流量管理日志

不涉及

  • 前往全局流量管理,开通全局流量管理服务,并购买相应的全局流量管理实例。

  • 暂不支持中文域名日志转存。

  • 该功能仅限白名单用户使用,请提工单申请,到DNS侧加白。

  • Logstore

    dns_log

  • 仪表盘

Web应用防火墙

  • 访问日志

  • 攻击日志

所有在售地域

  • 旗舰版和企业版

  • 需在WAF控制台中购买日志服务模块。更多信息,请参见开通WAF日志服务

  • Logstore

    waf_log

  • 仪表盘

    • WAF审计中心

    • WAF安全中心

    • WAF访问中心

云安全中心

  • 主机日志(9种)

  • 网络日志(4种)

  • 安全日志(7种)

华东1(杭州)、新加坡

  • Logstore

    sas_log

  • 仪表盘

    • SAS安全告警中心

    • SAS网络连接中心

    • SAS DNS中心

    • SAS基线中心

    • SAS账户快照

    • SAS进程快照

    • SAS网络会话

    • SAS漏洞中心

    • SAS Web访问中心

云防火墙

互联网边界防火墙流量日志、VPC边界防火墙流量日志

不涉及

  • 高级版本及以上

  • 需在云防火墙控制台中购买日志分析模块。更多信息,请参见开通日志分析功能

  • Logstore

    cloudfirewall_log

  • 仪表盘

    云防火墙审计中心

堡垒机

操作命令日志

所有在售地域

V3.2版本及以上

  • Logstore

    bastion_log

  • 仪表盘

对象存储

  • 资源操作日志

  • 数据操作日志

  • 数据访问日志、计量日志

  • 过期文件删除日志

  • CDN回流日志

华东1(杭州)、华东2(上海)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华北6(乌兰察布)、华南1(深圳)、华南2(河源)、华南3(广州)、西南1(成都)、中国(香港)、新加坡、马来西亚(吉隆坡)、印度尼西亚(雅加达)、菲律宾(马尼拉)、日本(东京)、韩国(首尔)、泰国(曼谷)、德国(法兰克福)、阿联酋(迪拜)、英国(伦敦)、美国(弗吉尼亚)、美国(硅谷)

  • Logstore

    oss_log

  • 仪表盘

    • OSS审计中心

    • OSS访问中心

    • OSS运维中心

    • OSS性能中心

    • OSS全局数据

云数据库RDS

  • RDS MySQL审计日志

  • RDS MySQL慢日志

  • RDS MySQL性能日志

  • RDS MySQL错误日志

  • RDS PostgreSQL审计日志

  • RDS PostgreSQL慢日志

  • RDS PostgreSQL错误日志

  • RDS MySQL审计日志:除华东5(南京-本地地域)、华东6(福州-本地地域)、华南2(河源)、菲律宾(马尼拉)外的所有当前在售地域。

  • RDS MySQL慢日志、性能日志、错误日志:除华东5(南京-本地地域)、华东6(福州-本地地域)、菲律宾(马尼拉)外的所有当前在售地域。

  • RDS PostgreSQL审计日志:华东1(杭州)、华东2(上海)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华南1(深圳)、华南2(河源)、华南3(广州)、中国(香港)、新加坡、马来西亚(吉隆坡)、印度尼西亚(雅加达)、德国(法兰克福)、美国(弗吉尼亚)

  • RDS PostgreSQL慢日志、错误日志:华东1(杭州)、华东2(上海)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华北6(乌兰察布)、华南1(深圳)、华南2(河源)、华南3(广州)、西南1(成都)、中国(香港)、新加坡、马来西亚(吉隆坡)、印度尼西亚(雅加达)、菲律宾(马尼拉)、德国(法兰克福)、英国(伦敦)、美国(弗吉尼亚)

  • 审计日志

    • MySQL:不支持基础版

    • PostgreSQL:支持高可用版

    • 均需开启SQL洞察或审计功能,由日志审计服务自动开启。

  • 慢日志、错误日志

    • MySQL:不支持基础版

    • PostgreSQL:支持高可用版

  • 性能日志

    只支持非基础版的MySQL实例。

  • 审计日志

    • Logstore

      rds_log

    • 仪表盘

      • RDS审计中心

      • RDS审计安全中心

      • RDS审计性能中心

      • RDS全局数据

  • 慢日志、错误日志

    • Logstore

      rds_log

    • 仪表盘

  • 性能日志

    • Metricstore

      rds_metrics

    • 仪表盘

      RDS性能监控

云数据库PolarDB

  • PolarDB MySQL审计日志

  • PolarDB MySQL慢日志

  • PolarDB MySQL性能日志

  • PolarDB MySQL错误日志

所有在售地域

  • 审计日志

    • 支持MySQL集群

    • 需开启SQL洞察或审计功能。由日志审计服务自动开启。

  • 慢日志、性能日志、错误日志

    只支持MySQL集群。

  • 慢日志、审计日志、错误日志

    • Logstore

      polardb_log

    • 仪表盘

  • 性能日志

    • Metricstore

      polardb_metrics

    • 仪表盘

      PolarDB性能监控

PolarDB-X 1.0

PolarDB-X 1.0审计日志

华北1(青岛)、华南1(深圳)、华东2(上海)、华北2(北京)、华东1(杭州)、华北3(张家口)、西南1(成都)、中国(香港)

  • Logstore

    drds_log

  • 仪表盘

    • DRDS运营中心

    • DRDS安全中心

    • DRDS性能中心

IDaaS

  • 应用身份服务管理操作日志

  • 应用身份服务用户行为日志

华东1(杭州)

  • Logstore

    idaas_log

  • 仪表盘

特权访问管理中心PAM

  • 运维审计日志

  • 操作审计日志

所有在售地域

已购买堡垒机(开发者版、轻量版)实例。更多信息,请参见购买实例

  • Logstore

    pam_log

  • 仪表盘

文件存储

访问日志

所有在售地域

  • Logstore

    nas_log

  • 仪表盘

    • NAS概览

    • NAS审计中心

    • NAS运维中心

移动推送

推送回调事件

中国内地

  • Logstore

    cps_log

  • 仪表盘

    • Android回执中心

    • iOS回执中心

容器服务Kubernetes版

  • Kubernetes审计日志

  • Kubernetes事件中心

  • Ingress访问日志

华东2(上海)、华北2(北京)、华东1(杭州)、华南1(深圳)、华北5(呼和浩特)、华北3(张家口)、西南1(成都)、中国(香港)

针对Kubernetes的采集,需要您先手动开通对应的日志采集功能。

说明
  • 必须使用自动创建的专属Project(k8s-log-{ClusterID}),暂不支持手动创建的Project。

  • Kubernetes相关日志采集依赖于数据加工功能,会产生相应的加工费用。更多信息,请参见按使用功能计费模式计费项

  • 暂不支持跨账号采集K8s相关的日志。

  • Logstore

    • k8s_log

    • k8s_ingress_log

  • 仪表盘

    • Kubernetes审计中心概览

    • Kubernetes事件中心

    • Kubernetes资源操作概览

    • Ingress概览

    • Ingress访问中心

DDoS防护

  • DDoS高防(中国内地)访问日志

  • DDoS高防(非中国内地)访问日志

  • DDoS原生防护访问日志

不涉及

  • DDoS高防(中国内地):已在DDoS高防(中国内地)控制台上购买全量日志分析模块。更多信息,请参见快速使用全量日志分析

  • DDoS高防(非中国内地):已在DDoS高防(非中国内地)控制台上购买全量日志分析模块。更多信息,请参见快速使用全量日志分析

  • DDoS原生防护:已在DDoS原生防护控制台上购买全量日志分析模块。更多信息,请参见开通原生防护日志功能

  • Logstore

    ddos_log

  • 仪表盘

    • DDoS高防(非中国内地)访问中心

    • DDoS高防(非中国内地)运营中心

    • DDoS高防(中国内地)访问中心

    • DDoS高防(中国内地)运营中心

    • DDoS原生防护事件报表

    • DDoS原生防护清洗分析报表

应用集成

操作日志

不涉及

  • Logstore

    appconnect_log

  • 仪表盘

说明

采集RDS或PolarDB实例重启后5分钟内产生的日志时,可能存在缺失。

金融云场景

在金融云场景中,日志审计服务在云产品覆盖和地域限制方面与公有云有所不同。

  • 云产品覆盖

    日志审计服务支持采集ActionTrail、SLB、API网关、RDS、堡垒机、DDoS防护和云防火墙的日志。

    云产品

    审计相关日志

    采集地域

    使用前提

    日志服务资源

    操作审计

    • RAM登录日志

    • 阿里云产品的资源操作日志

    • 通过OpenAPI的操作行为日志

    华东2(上海)金融云

    • Logstore

      actiontrail_log

    • 仪表盘

      • ActionTrail审计中心

      • ActionTrail核心配置中心

      • ActionTrail登录中心

    负载均衡

    HTTP或HTTPS侦听实例的7层网络日志

    华东1(杭州)金融云、华东2(上海)金融云、华南1(深圳)金融云

    • Logstore

      slb_log

    • 仪表盘

      • SLB审计中心

      • SLB访问中心

      • SLB全局数据

    API网关

    访问日志

    华东1(杭州)金融云、华东2(上海)金融云、华南1(深圳)金融云

    • Logstore

      apigateway_log

    • 仪表盘

      API网关审计中心

    云防火墙

    互联网流量日志、边界防火墙流量日志

    不涉及

    • 高级版本及以上

    • 需在云防火墙控制台中购买日志分析模块。更多信息,请参见开通日志分析功能

    • Logstore

      cloudfirewall_log

    • 仪表盘

      云防火墙审计中心

    关系数据库RDS

    • RDS审计日志

    • MySQL慢日志

    华东1(杭州)金融云、华东2(上海)金融云、华南1(深圳)金融云

    • 审计日志

      • MySQL:不支持基础版

      • PostgreSQL、Microsoft SQL Server:无限制

      • 均需开启SQL洞察或审计功能。

        由日志审计服务自动开启。

    • 慢日志

      只支持非基础版的MySQL实例。

    • 审计日志

      • Logstore

        rds_log

      • 仪表盘

        • RDS审计中心

        • RDS审计安全中心

        • RDS审计性能中心

        • RDS全局数据

    • 慢日志

      • Logstore

        rds_log

      • 仪表盘

    堡垒机

    操作命令日志

    华东1(杭州)金融云、华东2(上海)金融云、华东3(深圳)金融云

    V3.2版本及以上

    • Logstore

      bastion_log

    • 仪表盘

    DDoS防护

    DDoS高防(新BGP)访问日志

    不涉及

    已在DDoS高防(新BGP)控制台上购买全量日志分析模块。更多信息,请参见开通全量日志分析功能

    • Logstore

      ddos_log

    • 仪表盘

      • DDoS高防(新BGP)访问中心

      • DDoS高防(新BGP)运营中心

  • 地域限制

    采用中心化存储时,日志审计服务从各个阿里云账号的各个地域采集到的日志,会存储到中心阿里云账号下的一个中心化Project中,目前中心化存储可供选择的地域包括华东1(杭州)金融云、华东2(上海)金融云和华南1(深圳)金融云。更多信息,请参见使用限制