本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
开通日志分析服务后,如果云防火墙日志分析的默认配置(包括采集的日志类型、存储地域、存储时长)不满足您的业务需求,您可以根据业务需要调整日志存储配置,包括修改采集的日志类型、日志的投递地域以及日志存储时长,确保日志管理方案与您的业务战略保持一致。
前提条件
已开通云防火墙日志分析服务。具体操作,请参见日志分析概述。
设置日志采集类型
日志分析提供了实时采集资产流量日志的功能,支持对搜集的数据进行即时检索和分析,并通过直观的仪表盘展示结果,便于您对资产的访问模式和潜在攻击行为进行快速分析,为制定有效的防护措施提供了关键支持。
采集的日志类型
云防火墙支持采集的流量日志包括:
互联网流量日志
攻击事件日志:命中互联网边界防火墙入侵防御规则的流量日志。
访问控制日志:命中互联网边界防火墙访问控制策略的流量日志。
其他流量日志:其他经过互联网边界防火墙的流量日志。
VPC流量日志
攻击事件日志:命中VPC边界防火墙入侵防御规则的流量日志。
访问控制日志:命中VPC边界防火墙访问控制策略的流量日志。
其他流量日志:其他经过VPC边界防火墙的流量日志。
DNS流量日志:所有经过DNS边界防火墙的流量日志。
IPv6流量日志:命中互联网边界防火墙IPv6访问控制策略的流量日志。
NAT流量日志:所有经过NAT边界防火墙的流量日志。
云防火墙默认开启所有日志类型的投递开关,您可以按需修改投递开关状态。
关闭投递功能,不会自动删除Project及已投递的日志,但云防火墙不再采集对应类型的日志。
修改日志投递开关
登录云防火墙控制台。
在左侧导航栏,选择
在页面右上方,单击投递开关,修改日志类型的投递开关。
修改日志存储地域
日志分析采集的日志默认存储在华东1(杭州)地域,对于业务部署不在该地域可能带来的问题(跨地域日志同步费用、数据无法对接等),可以采用将日志存储地域修改为业务所在或距离较近地域的方式来解决。
切换日志分析的投递地域之前,请知悉:
包年包月切换后原日志将丢失,请在切换前提前备份日志。按量付费版切换后原日志库不会删除,请按需保留或删除原日志库。
切换过程预计需要5~10分钟完成,在此期间请勿执行与日志相关的其他操作。
切换期间的日志将不会投递和存储,建议在业务低峰期进行切换。
如果出现切换超时,请隔5~10分钟后刷新检查是否完成。如仍有问题,请提工单咨询。
登录云防火墙控制台。
在左侧导航栏,选择。
在页面右上方,单击日志投递区域,修改日志的投递地域。
修改日志存储时长
日志默认存储时长为180天,超过存储时长的日志将被自动删除且不可恢复。您可以根据日志存储容量和实际需要修改日志存储时长,日志存储时长支持设置为7~730天。如果您开通的是按量版云防火墙,且有更高的存储需求,可以通过日志服务修改存储时长。
日志存储空间满,将不会再采集新的日志,请合理设置日志存储时长,并定期关注日志存储空间的使用情况。
日志存储时长修改生效后,云防火墙日志分析服务将只存储指定时长范围内的日志,并自动删除超出存储时长的日志。自动删除需要1~2小时生效。
例如,您将日志存储时间由原来的180天修改为30天,保存生效后,超过30天的日志将被自动删除。
登录云防火墙控制台。
在左侧导航栏,选择。
在页面右上方,单击日志存储时长,修改日志的存储时间后,单击保存。
管理日志存储空间
按量版无日志存储空间限制。
为避免因日志存储空间占满,新的日志数据无法写入专属日志库而造成日志数据不完整的情况,建议您定期关注日志存储空间的使用情况。
登录云防火墙控制台。
在左侧导航栏,选择。
在日志查询页面右上方,查看日志使用情况。
该页面显示的日志存储空间用量并非实时更新,与实际使用情况存在两个小时的延迟。因此,当日志存储空间即将满时,请提前升级容量或清除日志。
(可选)如果日志空间使用率即将满,您可以升级日志存储容量或清空存量日志。
警告日志清空后将无法复原,请谨慎使用清空功能。
升级存储容量:在日志查询页面右上方,单击升级容量,选择更大的日志存储容量规格,并完成扩容费用支付。
说明日志分析存储容量的扩展费用:500元/1,000 GB/月。购买的月份与云防火墙实例的服务时长一致,暂不支持修改。
清空存量日志:在日志查询页面右上方,单击清空,然后在弹出的提示框中单击确定。清空日志约需要1~2小时。
说明开通云防火墙日志服务后,您会获取4次清空日志存储空间的机会。每次续费云防火墙服务时,清空日志存储空间的机会将重新刷新,即重新获得4次机会。