本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
日志管理功能可以对日志进行存储和查询,以便帮助您精准定位告警、进行攻击溯源、提高响应速度。本文介绍日志管理服务的基本信息,以及如何使用日志管理服务。
日志类型说明
日志类型 | 使用条件 | 数据来源说明 | 支持的类别及字段说明 |
云安全中心日志 | 开通日志管理功能。 | 存储阿里云云安全中心各功能模块产生的日志。例如漏洞日志、安全告警日志、客户端事件日志等。 | |
标准化日志 | 开通日志管理功能和威胁分析与响应功能。 |
| 在云安全中心控制台页面标准化规则页签,单击查看标准字段,即可在标准字段列表面板,查看标准化日志的分类及字段说明。 |
计费说明
包年包月模式:按照您购买的日志存储容量和购买时长收取费用,0.5元/GB/月(1,000 GB起售,购买步长为1,000 GB)。
按量付费模式:开通日志管理按量付费后,系统会统计每个自然日的日累计存储量(GB),按照0.05元/GB,以自然日为单位计费。
您在云安全中心控制台进行日志查询、导出等操作时,不会产生其他费用。日志管理功能将日志投递到日志服务后,如果您在日志服务控制台对日志数据进行加工、投递等操作,您可能需要额外支付该部分费用。
当Logstore的计费模式为按使用功能计费时,在日志服务进行数据加工、投递、从外网接入点流式读取数据操作,由日志服务收取加工计算费用、数据投递费用和外网读取流量费用。更多信息,请参见按使用功能计费模式计费项。
当Logstore的计费模式为按写入数据量计费时,在日志服务进行数据加工、投递等操作免费,仅在日志服务进行外网数据读取时将按照日志服务标准方式收费。更多信息,请参见按写入数据量计费模式计费项。
日志存储说明
开通日志管理服务后,系统会在日志服务自动创建一个专属Project(命名为aliyun-cloudsiem-data-阿里云账号ID-RegionID)和Logstore,用于存储云安全中心日志和标准化日志。日志的存储地域取决于您在云安全中心控制台左上角选择的服务所在区域。
选择中国时,日志默认将存储在华东2(上海)地域。
选择全球(不含中国)时,日志将存储在新加坡地域。
当投递任务开启后,云安全中心会自动将日志投递到对应日志库中。投递的日志会一直保留,直到超过您设置的存储天数后,对应日志数据被删除。通过包年包月模式购买后,如果日志存储空间耗尽,新日志会停止投递。在已使用的日志容量超过总容量的80%时,云安全中心支持发送通知信息。通知设置的具体操作,请参见通知设置。
开通或关闭日志管理服务
开通日志管理服务
仅支持通过包年包月或按量付费中的一种方式开通日志管理服务。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择。
如果您已按包年包月模式购买CTDR日志接入流量,或开通CTDR按量付费,则左侧导航栏入口将变更为。
在日志管理页面,单击包年包月购买或开通按量付费。
说明如果您已通过包年包月方式购买威胁分析与响应日志接入流量,或已开通威胁分析与响应按量付费时,您需要在当前页面右上角,单击开启日志管理按量付费,或通过升级购买威胁分析与响应日志存储容量。具体操作,请参见升级与降配。
开通包年包月:在购买页面,将威胁分析与响应的是否选购置为是,选择所需的日志存储容量,单击立即下单并完成支付。
您可以根据需要选购云安全中心的其他功能,具体操作指导,请参见购买云安全中心。
开通按量付费:在对话框中了解计费规则,选择存储地域,单击立即开通并授权。
关闭日志管理服务
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择。
在日志管理页面,确保日志使用量为0 GB。
如果日志使用量不为0,在当前页面右上角单击清空,等待日志使用量清空后,再执行下一步。
您可以通过以下方式关闭日志管理服务。
包年包月模式
方法一:降配
在总览页,单击。
在订单降配页签,将威胁分析与响应区域的日志存储容量设置为0 GB。
仔细阅读并选中云安全中心服务协议,然后单击立即下单。
方法二:退订已购买的云安全中心实例
按量付费模式:在云安全中心控制台的总览页面的按量付费服务区域,关闭日志管理开关。
重要关闭日志管理开关后,日志投递会自动关闭,对应的Logstore会被删除,删除的日志数据不支持恢复。建议您谨慎操作。
仅购买日志接入流量或开通威胁分析与响应按量付费说明
如果您已按包年包月模式购买CTDR日志接入流量或开通CTDR按量付费,且未购买日志存储容量时,在日志管理页面您可以查询部分标准化日志。支持查看的日志是标准化方式为扫描查询的接入策略所设置的。
这种场景下,不支持投递和查看云安全中心日志,不支持投递标准化方式为实时消费的接入策略产生的标准化日志。购买不同计费项支持的功能详情,请参见购买并开通威胁分析与响应。
云安全中心日志
开启投递
购买日志存储容量后,CTDR默认会开启所有云安全中心日志类型的投递。如果您未购买云安全中心对应的增值服务,例如应用防护、恶意文件检测等,对应类型的日志投递开关将保持关闭。
您可以在日志管理页面,单击日志管理设置,查看并设置对应日志类型的投递状态。
查询日志
在左侧导航栏,选择。
在日志管理页面左上角,单击云安全中心日志,选中需要查看的日志类型。
设置查询时间,通过查询语句检索日志,并查看日志分析数据。
威胁分析与响应日志管理的日志查询方法和云安全中心日志分析功能查询方法相同,具体操作,请参见自定义日志查询与分析。
标准化日志
投递说明
标准化日志是CTDR消费和分析接入的日志后生产的具有标准化分类和结构的日志。不支持对标准化日志的投递启停进行管理,下述情况会开启标准化日志的投递:
当接入策略设置的标准化方式为实时消费时,CTDR默认会将经过标准化处理的日志按照标准化分类投递到对应的Logstore中。创建接入策略的时候,会同时创建日志投递任务。
创建自定义规则后,自定义规则产生的标准化告警日志,例如端点检测与响应告警日志、防火墙告警日志等。
在日志管理页面,单击日志管理设置,可在日志管理设置面板的标准化日志页签,查看标准化结构的被引用次数。被引用次数是接入策略为对应标准化分类和结构,且标准化方式为实时消费的接入策略的数量。
查询日志
CTDR支持以标准化日志结构为单位搜索日志,通过数据集(StoreView)查询多个Logstore中的数据,并进行结果返回。关于日志库(Logstore)查询与分析的更多信息,请参见常见的查询/分析结果示例。
日志存储管理
修改日志保存时间
开启投递的日志默认保存时间为180天,您可以根据需要修改日志保存时间。
在左侧导航栏,选择。
在日志管理页面右上角,单击日志管理设置。
在日志管理设置面板,在云安全中心日志或标准化日志页签,单击日志保存时间(TTL)操作列的
图标,修改日志的保存时间。
扩容或清空存储容量
您可以在页面,查看当前的日志使用量和总容量。您可以按需扩容或清空日志存储空间。
单击扩容,可购买更多日志存储容量。
请确保日志存储空间充足。如果日志存储空间被占满,将无法写入新的日志。
单击清空,可清空所有存储空间。清空日志大约需要0~24小时,请您耐心等待。
警告清空存储空间后将无法复原日志数据,请务必谨慎使用清空功能。建议您先将日志导出进行备份后,再清空存储空间。
常见问题
为什么我无法开通日志管理按量付费?
以下任一原因可导致您无法开通日志管理按量付费。
原因一:已通过包年包月方式购买威胁分析与响应-日志存储容量或日志分析。
解决方案:
原因二:您的威胁分析与响应为1.0架构。
解决方案:
说明如果您决定暂时不升级到威胁分析与响应2.0架构,且需要使用日志管理功能时,您可以通过包年包月方式购买威胁分析与响应-日志存储容量。
原因三:您在2024年04月26日(包含)前通过包年包月方式购买威胁分析与响应日志存储容量,使用威胁分析与响应相关功能。
该部分用户在升级至威胁分析与响应2.0架构后,保有和原先购买量一致的威胁分析与响应日志存储容量(包年包月模式),可正常使用日志管理功能。如需将包年包月模式转化为按量付费,请参考原因一的解决方案。关于威胁分析与响应架构升级的更多信息,请参见【通知】威胁分析与响应升级。
云安全中心日志分析和日志管理功能有什么区别?
日志分析和日志管理功能都是云安全中心提供的安全日志查询和分析能力。日志管理和日志分析相比,除了提供云安全中心各模块(漏洞、安全告警、客户端事件等)日志的投递和分析能力外,还支持投递并存储经过威胁分析与响应标准化处理的日志。如果您有等保合规或其他安全日志存储和分析需求,建议您优先选择日志管理功能。
下表介绍这两个功能的具体差别:
功能名称 | 支持的日志类型 | 计费方式 | 存储地域管理 | 日志保存时间管理 |
日志管理(推荐) |
|
| 默认为华东2(上海)。 仅支持开通按量付费时在弹框中支持修改存储地域。 | 支持在日志管理设置面板,设置日志保存时间。 |
云安全中心日志 | 包年包月 | 默认为华东1(杭州),不支持修改。 | 默认为180天,不支持修改。 |
相关文档
您可以通过控制台、Cloud Shell或命令行工具将日志或查询分析结果下载到本地。具体操作,请参见导出日志。
您可以将日志投递到OSS进行存储。具体操作,请参见创建OSS投递任务(新版)。
如果日志存储空间被占满,将无法写入新的日志。您可以开启威胁分析与响应日志超量提醒通知,以便您及时扩容日志存储空间。具体操作,请参见通知设置。