接入云产品日志后,您可以使用冷数据功能对多种云产品的日志进行存储和查询,以便帮助您精准定位告警、进行攻击溯源、提高响应速度、降低多资源环境的日志管理难度,从而加强安全防御体系。冷数据存储方案符合《网络安全法》和《信息安全技术 网络安全等级保护基本要求》(等保2.0)的合规要求。本文介绍如何使用冷数据存储方案。
为了提升威胁分析与响应日志管理功能的产品体验,阿里云云安全中心计划停止威胁分析与响应冷数据功能的公测,并下线该功能。更多信息,请参见【通知】威胁分析与响应冷数据功能停止公测并下线。
功能原理
冷数据是基于阿里云自研的安全数据湖能力,联合OSS提供的日志存储及数据湖构建服务提供的日志分析能力。
开通冷数据功能后,威胁分析与响应服务会在OSS服务创建两个Bucket:
security-lake-阿里云账号ID-数据湖名称:该Bucket存储投递到冷数据中的日志数据。日志数据会按照您设置的存储天数进行保存,超过存储天数的日志会被删除。
security-lake-阿里云账号ID-数据湖名称-query-result:该Bucket存储日志查询的结果,该Bucket内的数据长期保存。您可以自行清理无需保存的历史数据。
Bucket所属的地域为华东2(上海)。
计费说明
按存储的OSS数据量,由OSS服务收取存储费用。更多信息,请参见计费概述。
查询数据时会使用数据湖构建的能力,可能会产生费用,对应费用由数据湖构建DLF服务收取。更多信息,请参见计费模式。
DLF产品目前所有功能为0折扣活动阶段,即使超过免费阶梯限定后,目前也均不会产生实际计费。
冷数据功能处于公测中,不收取费用。
多账号统一管理说明
在多账号统一管理场景下,如果您使用全局账号管理员登录云安全中心控制台,在日志管理页面管理日志前,需要切换视图。视图说明如下:
当前账号视图:查看并管理当前账号下的冷数据。
全局账号视图:查看并管理威胁分析与响应管控范围内的阿里云账号的冷数据。
在当前账号视图和全局账号视图下开启了冷数据日志投递,均会在全局账号管理员的OSS服务中创建对应的Bucket,产生的OSS费用由作为全局账号管理员的阿里云账号承担,存储的日志数据归属于全局账号管理员。
前提条件
已开通对象存储OSS服务。更多信息,请参见步骤一:开通OSS服务。
步骤一:开启投递
从北京时间2024年09月12日起,不再支持阿里云账户申请并开通冷数据公测。仅支持在此时间点前已开启公测的用户,参考下述操作开启日志投递。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域中国。
在左侧导航栏,选择。
在产品接入页面右上角,单击日志存储管理。
在日志投递管理区域,打开需要投递的日志类型投递到冷数据/启停时间列下的开关。
您可以选中多个日志类型后,单击批量投递,并选择到冷数据。
如果您不需要再存储某个类型的产品日志,您可以关闭该日志类型的投递开关。冷数据将不会再接收该日志类型产生的新日志。
步骤二:查询日志
在左侧导航栏,选择。
在冷数据页签,单击查询1,在SQL语句执行区域输入需要执行的SQL语句,单击运行。
在数据库左侧列表中可以查看支持查询的字段。
以下是查询使用的常见语句:
简单查询
select u_name,file_path,activity_name,category_name,proc_path,intra_ip,container_host_name,asset_id,container_machine_ip,ecs_instance_id,parent_proc_path,cmd_line_format,container_file_path,k8s_name_space,asset_name,euid_name,main_user_id,inter_ip,parent_proc_start_time,cloud_code,parent_file_path,raw_data,file_uid,comm,k8s_cluster_id,container_image_id,pcomm,log_name,proc_id,index,file_uid_name,parent_file_name,srv_cmd_line,start_time,container_image_name,client_mode,cmd_chain_index,os_type,container_type,proc_name,parent_proc_id,docker_image_name,container_id,gid,perm,docker_container_id,proc_start_time,product_code,host_uuid,file_gid_name,sid,uid,k8s_node_name,file_gid,occur_time,vpc_instance_id,egroup_name,asset_type,sub_user_id,parent_cmd_line,docker_image_id,class_name,asset_list,k8s_node_id,euid,file_name,host_instance_id,end_time,k8s_pod_name,time_zone,egroup_id,log_time,cwd,gid_name,cmd_line,container_name,log_code,parent_proc_name,docker_file_path,tty,os_name,cmd_chain,scan_time,host_name from test****_17661858941*****.cloud_siem_aegis_proc where year = '2024' AND month = '03' AND day = '26' limit 200查询结果如下:
统计分析
select asset_id, `year`, `month`, `day`, `hour`, count(1) from test****_17661858941*****.cloud_siem_aegis_proc where year = '2024' AND month = '03' AND day = '26' group by asset_id, year, month, day, hour查询结果如下:
在查询结果下方,单击下载,可下载查询结果的CSV文件。
最多支持下载1万条记录。
更多操作
修改日志存储天数
开启投递的云产品日志默认为永久保存,您可以根据需要修改存储天数。
修改存储天数后,存储时长已经超出存储天数的日志会被立即删除,请您谨慎设置存储天数。
在左侧导航栏,选择。
在产品接入页面右上角,单击日志存储管理。
在日志管理面板,修改冷数据的存储天数。
日志存储容量管理
您可以通过删除Bucket内文件的方式减少冷数据占用的存储空间。
在左侧导航栏,选择。
在产品接入页面右上角,单击日志存储管理。
在日志管理面板,单击前往OSS控制台清空容量。
在OSS控制台,删除不需要保存的日志文件。
具体操作,请参见删除文件。
相关文档
- 本页导读 (1)
- 功能原理
- 计费说明
- 多账号统一管理说明
- 前提条件
- 步骤一:开启投递
- 步骤二:查询日志
- 更多操作
- 修改日志存储天数
- 日志存储容量管理
- 相关文档
