管理日志存储

购买数据安全中心企业版后,数据安全中心默认为每个数据库实例提供200 GB的日志存储空间,为每TB的OSS存储容量提供50 GB的日志存储空间。您可以查看当前存储容量,并根据实际业务需求管理存储容量(扩容、清空和配置告警),以及调整日志存储规则。

前提条件

已为需要且支持查看审计日志的数据资产开启日志审计功能。具体内容,请参见配置并开启审计模式

查看并管理存储容量

  1. 登录数据安全中心控制台

  2. 在左侧导航栏,选择日志分析

  3. 单击日志分析页面,查看和管理审计日志存储容量使用情况,具体内容如下。

查看存储容量使用

日志分析页面,单击右上方的显示容量的区域,您可以查看日志归档配置使用容量、在线日志存储使用容量和剩余容量。

image

  • 在线日志存储:根据已设置的在线日志查询时间,已存储在日志服务SLS中的审计日志容量。更多信息,请参见查看审计日志

  • 归档日志存储:在您开启日志归档功能后,数据安全中心支持将存储时间较长的日志压缩归档到对象存储OSS服务中。已归档的日志占用的存储空间较小,您可以在存储管理页签,查看已归档的日志。具体操作,请参见本文的查询归档日志

  • 剩余容量:购买DSC企业版的日志存储容量减去已占用的在线日志存储日志归档存储容量。

升级存储容量

如果剩余容量不能支持后续业务需求,您可以单击扩容,前往变配页面购买足够的日志存储容量。计费说明,请参见计费概述

清空日志

如果无需保存已有的审计日志,您可以单击清空,在清空日志对话框,选择需要清空的日志类型(在线查询日志和已归档日志),然后单击确定

配置容量告警

如果需要在日志存储剩余容量较少时收到提醒,您可以单击告警,前往系统配置 > 告警通知页面的告警通知页签,新增告警配置。具体操作,请参见配置邮箱、短信和电话告警通知自定义钉钉机器人告警通知

设置存储规则

数据安全中心支持调整在线日志存储时长和日志归档配置,您可以参考以下步骤设置存储规则。

  1. 登录数据安全中心控制台

  2. 在左侧导航栏,选择日志分析

  3. 单击日志分析页面右上角的日志存储管理

  4. 在右侧面板的日志存储管理区域,根据实际需要设置管理模式(手动调整动态调整)和日志生命周期,然后单击确定

    • 手动调整(默认):该模式需要您设置在线日志存储天数和是否进行自动归档。

      设置在线日志存储天数后,超过设置天数的在线日志会被清理。开启了自动归档后,如果您设置的在线日志存储天数为N天(默认90天),数据安全中心会自动归档(N-3)天前的日志。

      image

    • 动态调整:该模式优先将日志存储为在线查询形态,数据安全中心将每天根据您的实际日志量与空间总容量调整在线查询时长(最小在线查询时长为30天),在线查询时长不足时,会进行自动归档。

      image

    • 日志生命周期:选中自动清除复选框,并设置周期(默认180天)后,数据安全中心会清除超过该周期的全量审计日志。

      image

查询归档日志

已归档的日志无法直接在线查看,您可以使用数据安全中心提供的归档日志查询功能解析归档日志,然后再查看已归档的日志。

  1. 登录数据安全中心控制台

  2. 在左侧导航栏,选择日志分析

  3. 单击日志分析页面右上角的日志存储管理

  4. 在右侧面板下方,单击归档日志查询

  5. 归档日志查询对话框,选择需要查询的日期区间,单击确定

    image

  6. 日志解析记录对话框,查看指定日期的日志解析状态,等待解析状态为已完成时,单击操作列的查看,即可查看已归档的日志。日志说明,请参见查看审计日志

    您也可以单击查询记录,在日志解析记录对话框查看日志解析记录和解析状态。

    image

相关文档

  • 完成对应数据资产的审计模式配置后,您可以在日志分析页面查看该数据资产的审计日志,详细内容,请参见查看审计日志

  • DSC默认为数据资产提供内置审计规则,包括数据库审计规则、OSS审计规则、MaxCompute审计规则,并支持自定义审计规则。开启审计告警规则后,可根据审计日志检测数据资产的异常操作、数据泄露、漏洞攻击、SQL注入等风险。详细内容,请参见配置并开启审计告警规则

  • 开启审计告警规则后,DSC会将命中规则条件的行为,上报至DSC的审计告警。您可以根据告警信息和审计日志分析处理相关风险。详细内容,请参见查看和处理审计告警