阿里云日志服务联合云安全中心联合推出日志分析功能,提供风险威胁数据的实时采集、查询与分析、加工、消费等一站式服务,帮助您全面了解、有效处理服务器的安全隐患,实现对云上资产的集中安全管理。 本文介绍云安全中心日志分析功能相关的资产详情、费用及使用限制。
资产详情
- 专属Project和Logstore 开通日志分析功能后,系统默认创建一个名为sas-log-阿里云账号ID-地域ID的Project,以及一个名为sas-log的专属Logstore。地域说明如下表所示。
云安全中心地域 Project所属地域 中国 华东1(杭州) 全球(不含中国) 新加坡 重要- 请勿删除云安全中心日志相关的Project和Logstore,否则将无法正常推送日志到日志服务。
如果您误删了专属Logstore,系统提示sas-log Logstore不存在,并且您当前Logstore的所有日志数据丢失。这种情况下,您需提交工单重置处理。重置后您需重新开通日志分析服务,已丢失的日志数据无法恢复。
- 若您曾开通过按写入数据量计费模式,则系统默认创建计费模式为按写入数据量计费的专属Logstore。若您需要切换至按使用功能计费模式,可修改Logstore配置,具体操作,请参见修改Logstore配置。
- 请勿删除云安全中心日志相关的Project和Logstore,否则将无法正常推送日志到日志服务。
- 专属仪表盘 日志分析功能覆盖3大类16种日志,默认生成9个仪表盘。重要 专属仪表盘可能随时进行升级与更新,建议您不要修改专属仪表盘。您可以自定义仪表盘用于查询结果展示。更多信息,请参见创建仪表盘。
日志类型 仪表盘 说明 网络日志 DNS访问中心 展示服务器上DNS查询的全局视图,包括外网查询成功率、本地以及外网DNS查询的分布、趋势等。 网络会话中心 展示资产相关网络会话的全局视图,包括连接趋势与分布、链接目标以及接入的趋势与分布等。 Web访问中心 展示主机对外HTTP以及基于主机的Web服务被访问的全局视图,包括请求成功率、访问趋势与有效率、被访问域名的分布以及其他相关分布等。 主机日志 登录中心 展示主机登录信息的全局视图,包括登录源和目标地址地理分布、趋势、登录端口和类型分布等。 进程中心 展示主机进程启动相关的全局视图,包括进程启动的趋势与分布、进程类型以及特定bash或Java程序的启动分布等。 网络连接中心 展示主机网络连接变化的全局视图,包括连接的趋势与分布、连接目标以及接入的趋势与分布等。 安全日志 基线中心 展示基线检查相关的全局视图,包括检查问题分布、新增/处理的趋势、状态等。 漏洞中心 展示漏洞相关的全局视图,包括漏洞分布,新增、验证、修复状态等。 告警中心 展示安全告警相关的全局视图,包括新增、处理的趋势与状态等信息。
支持的日志类型
云安全中心企业版和旗舰版支持主机、安全和网络三大类的16种子类日志;防病毒版和高级版仅支持主机和安全两大类的12种子类日志。
日志类型 | 描述 | 采集周期 | |
---|---|---|---|
网络日志 | DNS解析日志 | 外网DNS流量的相关日志。 | 延迟2小时采集。 |
本地DNS日志 | 内网DNS流量相关的日志。 | 延迟1小时采集。 | |
网络会话日志 | 特定协议的网络日志。 | 延迟1小时采集。 | |
Web访问日志 | 服务器与外网通信的HTTP流量日志。 | 延迟1小时采集。 | |
安全日志 | 漏洞日志 | 漏洞相关的日志。记录漏洞数据的新增、验证、修复日志。 | 实时采集。 |
基线日志 | 基线风险相关的日志。仅记录首次出现且未通过的检查项数据,以及在历史检测中为已通过重新检测后未通过的检查项数据。 | 实时采集。 | |
安全告警日志 | 安全告警相关的日志。记录告警数据的新增、更新、处理日志。 | 实时采集。 | |
云平台配置检查日志 | 云平台配置相关的日志。记录云平台配置检查的检查结果和加白操作的日志。 | 实时采集。 | |
主机日志 | 进程启动日志 | 服务器上进程启动相关的日志。 | 实时采集,进程启动立刻上报。 |
网络连接日志 | 服务器连接的五元组相关的日志。 |
| |
登录流水日志 | SSH、RDP登录成功日志。 | 实时采集。 | |
暴力破解日志 | 登录失败相关的日志。 | 实时采集。 | |
进程快照日志 | 服务器上进程快照信息。 | 资产指纹自动收集功能开启后才有数据。 每台服务器一天非固定时间收集一次。 | |
账号快照日志 | 服务器上账户快照信息。 | 资产指纹自动收集功能开启后才有数据。 每台服务器一天非固定时间收集一次。 | |
端口快照日志 | 服务器上端口快照信息。 | 资产指纹自动收集功能开启后才有数据。 每台服务器一天非固定时间收集一次。 | |
DNS请求日志 | 服务器上的DNS请求信息。 | 实时采集。 |
费用说明
- 当Logstore的计费模式为按使用功能计费时,日志服务对专属Logstore的读写流量、索引流量、存储、shard数、读写次数不收取任何费用,但对外网流量、数据加工的计算、投递的计算等会按照标准收费。更多信息,请参见按使用功能计费模式计费项。
- 当Logstore的计费模式为按写入数据量计费时,日志服务对专属Logstore的读写流量、索引流量、存储、shard数、读写次数、数据加工、数据投递等不收取任何费用,仅在日志服务进行外网数据读取时将按照标准收费。更多信息,请参见按写入数据量计费模式计费项。
- 云安全中心日志分析功能需要额外付费,由云安全中心收取,费用说明请参见计费概述。
使用限制
- 专属Logstore不支持写入其他数据,不支持修改属性信息(例如数据存储时长)。
- 根据《网络安全法》日志至少存储六个月的要求,推荐每台服务器配置30GB的日志存储容量。