开通日志分析服务后,若云防火墙日志分析的默认配置无法满足业务需求,您可根据实际需要调整日志存储配置,包括:修改采集的日志类型、日志投递地域及日志存储时长,以确保日志管理方案与业务战略一致。
设置日志采集类型
云防火墙支持采集的流量日志包括:
互联网流量日志
攻击事件日志:命中互联网边界防火墙入侵防御规则的流量日志。
访问控制日志:命中互联网边界防火墙访问控制策略的流量日志。
其他流量日志:其他经过互联网边界防火墙的流量日志。
VPC流量日志
攻击事件日志:命中VPC边界防火墙入侵防御规则的流量日志。
访问控制日志:命中VPC边界防火墙访问控制策略的流量日志。
其他流量日志:其他经过VPC边界防火墙的流量日志。
DNS流量日志:所有经过DNS边界防火墙的流量日志。
IPv6流量日志:命中互联网边界防火墙IPv6访问控制策略的流量日志。
NAT流量日志:所有经过NAT边界防火墙的流量日志。
修改云防火墙采集的日志类型:在日志分析页面右上方,单击投递开关,修改日志类型的投递开关。
关闭某日志类型的投递开关后,系统不会自动删除对应的 Project 及已投递的日志,但云防火墙将停止采集该类型的日志。
修改日志存储地域
日志分析采集的日志默认存储在华东1(杭州)地域,对于业务部署不在该地域可能带来的问题(跨地域日志同步费用、数据无法对接等),可以采用将日志存储地域修改为业务所在或距离较近地域的方式来解决。
切换日志分析的投递地域之前,请知悉:
切换后会创建新的日志Project,原先的日志Project将被删除。如需保留原日志,请手动进行备份。
切换过程预计需要5~10分钟完成,在此期间请勿执行与日志相关的其他操作。
切换期间的日志将不会投递和存储,建议在业务低峰期进行切换。
操作步骤:在日志分析页面右上方,单击日志设置,完成日志投递模式与投递区域配置。
日志投递模式:支持单地域投递与双地域投递。默认采用单地域投递模式,若存在中国内地与非中国内地的多地域资产,且需满足日志合规要求,可选择双地域投递模式。启用双地域投递后,需分别为每个地域独立配置存储容量和存储时长。
重要选择双地域投递时,每个地域分配的日志存储容量至少为1TB。
旧版按量付费1.0计费方式不支持此功能,如需使用,请升级至新版计费方式。
每个月仅有三次切换投递模式的机会。
投递区域:从支持的地域列表中选择日志投递的地域。
修改日志存储时长
日志默认存储时长为 180 天,超过该期限的日志将被自动删除且不可恢复。您可根据日志存储容量及业务需求调整存储时长,支持设置范围为 7 至 730 天。
当日志存储空间达到上限时,系统将停止采集新日志。请合理设置日志存储时长,并定期关注存储空间使用情况。
修改日志存储时长生效后,云防火墙日志分析服务仅保留指定时长范围内的日志,并自动删除超出该时长的日志。自动删除操作通常在 1 至 2 小时内完成。例如,若将日志存储时长从 180 天调整为 30 天,配置生效后,超过 30 天的日志将被自动删除。
操作步骤:在日志分析页面右上方,单击日志设置,在存储时长区域进行修改。
日志存储空间扩容
为避免因日志存储空间占满导致新日志无法写入日志库,进而造成日志数据不完整,建议您定期关注日志存储空间的使用情况。
查看存储空间使用量:在日志分析页面右上方,查看存储空间使用情况。
该页面显示的日志存储空间用量并非实时更新,与实际使用情况存在两个小时的延迟。因此,当日志存储空间即将满时,请提前升级容量或清除日志。
存储空间扩容:在日志分析页面右上方,单击变配容量,选择更大的日志存储容量规格,并完成扩容费用支付。若选择了双地域投递模式,升级存储容量后,需要手动分配容量至指定的投递地域。
清空存量日志:在日志分析页面右上方,单击清空,然后在弹出的提示框中单击确定。清空日志约需要1~2小时。
警告日志清空后将无法复原,请谨慎使用清空功能。
开通云防火墙日志服务后,您将获取4次清空日志存储空间的机会。每次续费云防火墙服务时,清空日志存储空间的机会将重新刷新,即重新获得4次机会。