更新时间:2024-04-23 GMT+08:00

日志管理

通过授权对象存储服务(Object Storage Service,OBS)存储态势感知日志,帮助用户轻松应对安全日志存储、导出场景,以及满足日志存储180天及集中审计的要求。

为应对SA日志的容灾恢复,将存储到OBS桶的日志,通过数据接入服务(Data Ingestion Service)传输到线下SIEM系统,恢复和离线管理SA日志数据。同时,可将线下SIEM系统日志数据,通过DIS重新传输上云进行分析和存储。

  • DIS支持通过以下几种方式上传和下载数据:Kafka Adapter、DIS Agent、DIS Flume Plugin、DIS Flink Connector、DIS Spark Streaming、DIS Logstash Plugin等,详细说明请参见使用DIS
  • 存储至OBS功能为Region级别功能。
  • OBS独立收费,具体收费情况请以OBS服务为准。

前提条件

  • 已购买专业版态势感知,且在有效使用期内。
  • 操作账号权限检查。使用资源管理功能时,除了需要“SA FullAccess”、“SA ReadOnlyAccess”策略权限,还需要“Tenant Administrator”权限,请提前授予操作账号对应权限。

    “Tenant Administrator”权限配置详细操作请参见如何配置日志管理功能所需的权限

创建日志存储至OBS桶

为满足安全审计日志存储180天要求,可将日志存储至OBS桶。OBS支持长久存储日志数据,并支持在OBS控制台下载日志文件。

  1. 登录管理控制台。
  2. 在页面左上角单击,选择安全与合规 > 态势感知 > 日志管理,进入日志管理页面。
  3. “存储至OBS桶”栏中,单击,开启存储,如图1所示。

    图1 存储至OBS桶

  4. 配置存储日志相关参数,具体参数说明如表1所示。

    表1 配置存储日志参数说明

    参数名称

    参数说明

    桶名称

    选择已创建的OBS桶。

    如果没有可选择的OBS桶,单击“您没有可用的OBS桶,请前往创建”,进入对象存储服务管理控制台,创建OBS桶。

    说明:
    • 目前仅支持选择当前账号所在的区域中已有的OBS桶。
    • 目前仅支持存储类别为“标准存储”“低频访问存储”的OBS桶。

    对象名称

    自定义对象名称。

    存储路径

    根据桶名称和对象名称生成的存储路径。

  5. 单击“确定”,完成配置。

    配置成功后,日志将在大约10分钟后存储至OBS桶。

其他操作

若不再需要将日志存储至OBS,可在“存储至OBS桶”栏中,单击,关闭日志存储至OBS桶。取消后,显示如图2所示。取消后,已上传存储到OBS桶的日志数据不会被删除。

图2 取消存储