日志管理

重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

接入云产品日志后,您可以使用日志管理功能对多种云产品的日志进行存储和查询,以便帮助您精准定位告警、进行攻击溯源、提高响应速度、降低多资源环境的日志管理难度,从而加强安全防御体系。日志管理存储方案符合《网络安全法》和《信息安全技术 网络安全等级保护基本要求》(等保2.0)的合规要求。本文介绍如何使用日志管理功能。

功能原理

日志管理功能是威胁分析与响应服务联合日志服务SLS提供的多云、多账号和多产品的日志集中存储和分析能力。

购买威胁分析与响应日志存储容量后,威胁分析与响应服务会在日志服务自动创建一个专属Project(命名为aliyun-cloudsiem-data-阿里云账号ID-RegionID)和专属Logstore(命名为cloud_siem),用于存储威胁分析与响应收集到的所有日志数据。威胁分析与响应日志的存储地域取决于您在云安全中心控制台左上角选择的服务所在区域。

  • 选择中国时,威胁分析与响应收集到的日志将存储在华东2(上海)地域。

  • 选择全球(不含中国)时,威胁分析与响应收集到的日志将存储在新加坡地域。

重要

您可以登录日志服务控制台查看威胁分析与响应的专属Project和专属Logstore,请勿删除该Project和Logstore。

如果误删Logstore,控制台会提示cloud_siem日志库不存在,并且您当前Logstore的所有日志数据会丢失。这种情况下,您需要提交工单重置处理。重置后您需重新开通威胁分析与响应服务才可继续使用。已丢失的日志数据无法恢复。

当您开启对应日志类型的投递任务后,威胁分析与响应服务会自动将日志投递到日志库cloud_siem中。投递的日志会一直保留,直到超过您设置的存储天数后,对应日志数据被删除。如果日志存储空间耗尽,新日志会停止投递。在已使用的日志容量超过总容量的80%时,云安全中心支持发送通知信息。通知设置的具体操作,请参见通知设置

计费说明

包年包月预付费。按照您购买的日志分析存储容量和购买时长收取费用。您在云安全中心控制台进行日志查询、导出等操作时,不会产生其他费用。

在日志管理功能将日志投递到日志服务后,如果您在日志服务控制台对日志数据进行加工、投递等操作,您可能需要额外支付该部分费用。

  • 当Logstore的计费模式为按使用功能计费时,在日志服务进行数据加工、投递、从外网接入点流式读取数据操作,由日志服务收取加工计算费用、数据投递费用和外网读取流量费用。更多信息,请参见按使用功能计费模式计费项

  • 当Logstore的计费模式为按写入数据量计费时,在日志服务进行数据加工、投递等操作免费,仅在日志服务进行外网数据读取时将按照日志服务标准方式收费。更多信息,请参见按写入数据量计费模式计费项

多账号统一管理说明

在多账号统一管理场景下,如果您使用全局账号管理员登录云安全中心控制台,在日志管理页面管理日志前,需要切换视图。视图说明如下:

  • 当前账号视图:查看并管理当前账号存储的日志数据。

  • 全局账号视图:查看并管理威胁分析与响应管控范围内的阿里云账号投递到当前账号下存储的日志数据。

重要
  • 当前账号视图全局账号视图下开启了日志投递,均会消耗全局账号管理员购买的日志存储容量,且存储的日志数据归属于全局账号管理员。

  • 如果被威胁分析全局账号管理员管控的阿里云账号需要使用自身账号管理日志,该阿里云账号需单独购买威胁分析与响应日志存储容量,并使用自身账号在云安全中心控制台威胁分析与响应 > 日志管理开启投递。

前提条件

步骤一:开启投递

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择威胁分析与响应 > 产品接入

  3. 产品接入页面右上角,单击日志管理设置

  4. 日志投递管理区域,打开需要投递的日志类型投递到热数据/启停时间列下的开关。

    您可以选中多个日志类型后,单击批量投递

    日志管理页面,打开目标日志类型右侧的开关,也可以直接开启该日志类型到存储空间的投递。

    image

  5. (可选)在左侧导航栏,选择威胁分析与响应 > 日志管理日志管理页面右上角,单击全部投递,为所有已接入数据源的日志类型开启投递。

说明

如果不需要存储某种类型的产品日志,您可以关闭该日志类型的投递开关。日志管理将不会再接收该日志类型产生的新日志。

步骤二:查询日志

  1. 在左侧导航栏,选择威胁分析与响应 > 日志管理

  2. 日志管理页面左上角,单击所有数据源,在所有数据源下拉列表,选中需要查看的数据源(即选择云产品和日志类型)。

  3. 设置查询时间,通过查询语句检索日志,并查看日志分析数据。

    威胁分析与响应日志管理的日志查询方法和云安全中心日志分析查询方法相同,具体操作,请参见自定义日志查询与分析

更多操作

修改日志存储天数

开启投递的云产品日志默认存储天数为180天,您可以根据需要修改存储天数。

  1. 在左侧导航栏,选择威胁分析与响应 > 产品接入

  2. 产品接入页面右上角,单击日志管理设置

  3. 日志管理面板,单击存储天数列的修改,修改日志的存储天数。

日志存储容量管理

您可以在威胁分析与响应 > 日志管理页面,查看当前的日志使用量和总容量。您可以按需扩容或清空日志存储空间。

  • 单击扩容,可购买更多日志存储容量。

    请确保日志存储空间充足。如果日志存储空间被占满,将无法写入新的日志。

  • 单击清空,可清空存储空间。

    警告

    清空存储空间后将无法复原日志数据,请务必谨慎使用清空功能。建议您先将日志导出并存储到本地后,再清空存储空间。

image

相关文档