阿里云日志服务联合云安全中心联合推出日志分析功能,提供风险威胁数据的实时采集、查询与分析、加工、消费等一站式服务,帮助您全面了解、有效处理服务器的安全隐患,实现对云上资产的集中安全管理。 本文介绍云安全中心日志分析功能相关的资产详情、费用及使用限制。

资产详情

  • 专属Project和Logstore
    开通日志分析功能后,系统默认创建一个名为sas-log-阿里云账号ID-地域ID的Project,以及一个名为sas-log的专属Logstore。地域说明如下表所示。
    云安全中心地域Project所属地域
    中国华东1(杭州)
    全球(不含中国)新加坡
    重要
    • 请勿删除云安全中心日志相关的Project和Logstore,否则将无法正常推送日志到日志服务。

      如果您误删了专属Logstore,系统提示sas-log Logstore不存在,并且您当前Logstore的所有日志数据丢失。这种情况下,您需提交工单重置处理。重置后您需重新开通日志分析服务,已丢失的日志数据无法恢复。

    • 若您曾开通过按写入数据量计费模式,则系统默认创建计费模式为按写入数据量计费的专属Logstore。若您需要切换至按使用功能计费模式,可修改Logstore配置,具体操作,请参见修改Logstore配置
  • 专属仪表盘
    日志分析功能覆盖3大类16种日志,默认生成9个仪表盘。
    重要 专属仪表盘可能随时进行升级与更新,建议您不要修改专属仪表盘。您可以自定义仪表盘用于查询结果展示。更多信息,请参见创建仪表盘
    日志类型仪表盘说明
    网络日志DNS访问中心展示服务器上DNS查询的全局视图,包括外网查询成功率、本地以及外网DNS查询的分布、趋势等。
    网络会话中心展示资产相关网络会话的全局视图,包括连接趋势与分布、链接目标以及接入的趋势与分布等。
    Web访问中心展示主机对外HTTP以及基于主机的Web服务被访问的全局视图,包括请求成功率、访问趋势与有效率、被访问域名的分布以及其他相关分布等。
    主机日志登录中心展示主机登录信息的全局视图,包括登录源和目标地址地理分布、趋势、登录端口和类型分布等。
    进程中心展示主机进程启动相关的全局视图,包括进程启动的趋势与分布、进程类型以及特定bash或Java程序的启动分布等。
    网络连接中心展示主机网络连接变化的全局视图,包括连接的趋势与分布、连接目标以及接入的趋势与分布等。
    安全日志基线中心展示基线检查相关的全局视图,包括检查问题分布、新增/处理的趋势、状态等。
    漏洞中心展示漏洞相关的全局视图,包括漏洞分布,新增、验证、修复状态等。
    告警中心展示安全告警相关的全局视图,包括新增、处理的趋势与状态等信息。

支持的日志类型

云安全中心企业版和旗舰版支持主机、安全和网络三大类的16种子类日志;防病毒版和高级版仅支持主机和安全两大类的12种子类日志。

日志类型描述采集周期
网络日志DNS解析日志外网DNS流量的相关日志。延迟2小时采集。
本地DNS日志内网DNS流量相关的日志。延迟1小时采集。
网络会话日志特定协议的网络日志。延迟1小时采集。
Web访问日志服务器与外网通信的HTTP流量日志。延迟1小时采集。
安全日志漏洞日志漏洞相关的日志。记录漏洞数据的新增、验证、修复日志。实时采集。
基线日志基线风险相关的日志。仅记录首次出现且未通过的检查项数据,以及在历史检测中为已通过重新检测后未通过的检查项数据。实时采集。
安全告警日志安全告警相关的日志。记录告警数据的新增、更新、处理日志。实时采集。
云平台配置检查日志云平台配置相关的日志。记录云平台配置检查的检查结果和加白操作的日志。实时采集。
主机日志进程启动日志服务器上进程启动相关的日志。实时采集,进程启动立刻上报。
网络连接日志服务器连接的五元组相关的日志。
  • Windows系统:实时采集。
  • Linux系统:每隔10秒采集,增量上报。
登录流水日志SSH、RDP登录成功日志。实时采集。
暴力破解日志登录失败相关的日志。实时采集。
进程快照日志服务器上进程快照信息。资产指纹自动收集功能开启后才有数据。

每台服务器一天非固定时间收集一次。

账号快照日志服务器上账户快照信息。资产指纹自动收集功能开启后才有数据。

每台服务器一天非固定时间收集一次。

端口快照日志服务器上端口快照信息。资产指纹自动收集功能开启后才有数据。

每台服务器一天非固定时间收集一次。

DNS请求日志服务器上的DNS请求信息。实时采集。

费用说明

  • 当Logstore的计费模式为按使用功能计费时,日志服务对专属Logstore的读写流量、索引流量、存储、shard数、读写次数不收取任何费用,但对外网流量、数据加工的计算、投递的计算等会按照标准收费。更多信息,请参见按使用功能计费模式计费项
  • 当Logstore的计费模式为按写入数据量计费时,日志服务对专属Logstore的读写流量、索引流量、存储、shard数、读写次数、数据加工、数据投递等不收取任何费用,仅在日志服务进行外网数据读取时将按照标准收费。更多信息,请参见按写入数据量计费模式计费项
  • 云安全中心日志分析功能需要额外付费,由云安全中心收取,费用说明请参见计费概述

使用限制

  • 专属Logstore不支持写入其他数据,不支持修改属性信息(例如数据存储时长)。
  • 根据《网络安全法》日志至少存储六个月的要求,推荐每台服务器配置30GB的日志存储容量。