日志服务概述

本文介绍KMS日志服务功能支持采集的数据、资产详情、计费说明及使用限制等。

什么是日志服务

KMS日志服务功能基于阿里云日志服务,在KMS控制台为您提供KMS实例的日志查询与分析,同时支持存储180天内的访问日志,满足《网络安全法》和《密码法》要求,助力您的应用符合合规要求。关于阿里云日志服务的详细介绍,请参见什么是日志服务

支持采集的数据

日志服务功能仅采集KMS实例处理的业务请求信息。KMS实例处理的业务请求信息可通过日志字段api_nameshare_gateway_api_name来标识业务请求场景。根据调用方发起业务请求时使用的KMS Endpoint不同进行区分,具体请参见下表。关于KMS Endpoint的详细介绍,请参见Endpoint说明

说明

日志服务不会采集KMS资源管控类操作的信息,但您可以使用操作审计(ActionTrail)对KMS资源的管控类操作进行查询。了解完整的支持审计的操作事件,请参见密钥管理服务支持被审计的事件说明。关于如何查询操作事件,请参见使用操作审计查询密钥管理服务的操作事件

  • 通过KMS服务Endpoint

    share_gateway_api_name

    api_name

    事件说明

    事件场景描述

    GetSecretValue

    Decrypt

    获取凭据值。

    自建应用获取凭据值。

    GenerateDataKey

    GenerateDataKey

    生成数据密钥操作。

    • 场景一:云产品集成KMS。

    • 场景二:自建应用,用户创建凭据或存入凭据值。

    GenerateDataKeyWithoutPlaintext

    GenerateDataKey

    生成数据密钥且仅返回数据密钥密文操作。

    云产品集成KMS。

    Encrypt

    Encrypt

    使用对称密钥对数据进行加密操作。

    云产品集成KMS。

    Decrypt

    Decrypt

    使用对称密钥对数据进行解密操作。

    云产品集成KMS。

    AsymmetricEncrypt

    Encrypt

    使用非对称密钥对数据进行加密操作。

    云产品集成KMS。

    AsymmetricDecrypt

    Decrypt

    使用非对称密钥对数据进行解密操作。

    云产品集成KMS。

    AsymmetricSign

    Sign

    使用非对称密钥对数据进行数据签名操作。

    云产品集成KMS。

    AsymmetricVerify

    Verify

    使用非对称密钥对数据进行数字签名验证操作。

    云产品集成KMS。

  • 通过KMS实例Endpoint

    用于您的自建应用使用KMS实例的场景,该场景share_gateway_api_name字段为空。

    api_name

    事件说明

    GetSecretValue

    获取凭据值。

    AdvanceEncrypt

    将明文数据通过KMS密钥加密为密文。

    仅当密钥为软件密钥管理实例的对称密钥时支持使用该接口。

    AdvanceDecrypt

    将使用KMS密钥加密的密文解密为明文。

    仅当密钥为软件密钥管理实例的对称密钥时支持使用该接口。

    AdvanceGenerateDataKey

    用于生成数据密钥。

    仅当密钥为软件密钥管理实例的对称密钥时支持使用该接口。

    GenerateDataKeyPair

    生成非对称的数据密钥对,并返回私钥明文。

    GenerateDataKeyPairWithoutPlaintext

    生成非对称的数据密钥对,不返回私钥明文。

    GenerateDataKey

    生成数据密钥。

    Encrypt

    将明文加密为密文。

    Decrypt

    将密文解密为明文。

    Sign

    使用非对称密钥进行签名。

    Verify

    使用非对称密钥进行验签。

    GetPublicKey

    获取指定非对称密钥的公钥。

资产详情

您开启日志服务后,日志服务将自动为该KMS实例创建项目(Project),并在该项目(Project)下创建日志库(Logstore),日志数据存放在日志库(Logstore)中。Project的所属地域与您的KMS实例相同。

您可以登录日志服务控制台,查看Project(名称为kms-log-KMS实例ID)和Logstore(名称为kms_audit_log)。

重要

请勿删除KMS日志相关的Project和Logstore,否则将无法正常推送日志到日志服务。

计费说明

由KMS售卖日志服务功能,根据日志存储容量收取费用,且仅支持以包年包月方式收取费用。日志存储容量最小为1000 GB,并以1000 GB为单位递增,费用每1000 GB为500 元/月

重要

KMS收取的日志服务费用覆盖存储空间以及查询分析。如果您使用日志服务的其他功能,例如日志加工、转投或索引等,需要向日志服务产品单独进行后付费,具体计费,请参见按使用功能计费模式计费项

日志服务的购买时长与KMS实例绑定,新购KMS实例时根据KMS实例的购买时长计算日志服务的费用,通过升级KMS实例开启日志服务时,会根据KMS实例的剩余时长(精确到分钟级别)计算日志服务的费用。

使用限制

  • 开启日志服务后,日志存储时长默认为180天且不支持修改。

  • 请确保日志存储空间充足,当日志存储空间被占满后无法写入新的日志,此时请您及时扩容,但需要注意的是目前扩容后不支持降配。

    说明

    KMS控制台中显示的日志存储空间用量并非实时更新,与实际使用情况间存在两个小时的延迟。

  • 开启日志服务后,暂不支持直接关闭,如您确实需要关闭,请联系阿里云技术支持。具体操作,请参见联系我们

  • KMS实例必须处于可用状态,否则KMS的日志服务功能将暂停使用。如果KMS实例已到期且未续费,在到期的第16天,Project会随KMS实例释放而自动删除。

如何计算所需的日志存储容量

一般情况下,每条请求日志大约占用1 KB存储空间,如果业务的平均请求量为100 QPS,则一天的日志存储所需要的存储空间为:100*60*60*24*1 = 8,640,000 KB(约8.2 GB),默认存储时长为180天,则日志存储容量约占8.2*180=1,476 GB。您开启日志服务时,日志存储容量可以选择2,000 GB。