接入日志数据
操作场景
安全云脑支持一键接入WAF、HSS、OBS等多种华为云云产品的日志数据。接入后,可以统一管理日志信息,以及检索并分析所有收集到的日志。具体支持接入的云服务日志请参见支持接入的云服务日志。
每个Region的首个工作空间可自动加载当前Region推荐接入的日志数据(未全部接入)。后续新增的用于自定义运营的工作空间,不会自动加载数据,需要用户自定义接入。

建议将安全云脑管理的资产以及资产的告警、基线检查结果、漏洞数据、日志数据接入同一个工作空间,便于统一运营,进行安全分析关联。
本章节介绍如何接入数据并查看日志存储位置。
约束与限制
- 日志接入操作成功后,日志数据订阅预计在十分钟内生效。
- 安全云脑(SecMaster)支持一键接入CFW日志数据,若接入的是新购买的CFW的日志数据,由于日志上报存在一定的延迟,如果您当天在安全云脑执行了接入CFW日志操作,则将会隔天才能在在安全云脑中查看到上报的CFW日志数据。
接入云服务日志
- 登录安全云脑 SecMaster控制台。
- 单击管理控制台左上角的
,选择区域和项目。
- 在页面左上角单击
,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
- 在左侧导航栏选择
,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。图1 进入目标工作空间管理页面
- 在左侧导航栏选择
,进入云服务日志接入页面。图2 云服务接入页面
- 在云服务日志接入页面,配置日志接入。请根据当前region已开通云服务按需进行接入。
一键接入多个云服务产品的日志,在云服务日志接入页面,单击“一键接入”按钮,右侧弹出“一键接入”配置页面。在一键接入配置页面,下拉选择数据源区域,下拉勾选需要接入的云服务日志。配置完成后,单击右下角“确定”,完成设置。
图3 云服务日志一键接入配置页面 - 云服务日志接入也支持设置单个云产品的日志接入。在云服务接入管理页面,单击云服务产品所在行操作列的“设置”,右侧弹出日志接入设置配置页面。
在设置页面,根据需要配置接入开关。
表1 云服务日志接入设置页面参数说明 参数名称
参数说明
日志类型
日志的类型。
日志接入
设置日志接入开关。按钮打开表示日志接入安全云脑。
自动转告警
在“自动转告警”列,单击
,开启后,当接入的云服务日志满足告警触发条件时,自动转为告警,并且在“告警管理”页面中进行展示。
生命周期
日志接入后的存储时长。
日志状态
日志接入的状态。
- 已接入:日志已接入且执行成功。
- 未接入:日志未接入。
- 接入失败:日志接入且执行失败。
最近活跃时间
最近日志接入时间,即活跃时间。
操作
单击“编辑”,可设置该日志类型的生命周期,单位天。生命周期指的是日志接入后的存储时长。
若账号已经被运营账号纳管,则只能在运营账号的主工作空间进行日志生命周期的修改,详细操作请参见创建多账号管理。
- 云服务日志接入配置完成后,在
页面可查看云服务产品的日志接入状态。
操作成功后,日志数据订阅预计在十分钟内生效。接入完成后,将创建默认数据空间和管道。
查看日志数据及其存储位置
日志数据接入完成后,请前往安全分析的安全数据表页面查看接入的日志数据:
相关操作
- 取消数据接入
- 在云服务接入管理页面,单击待取消接入云服务产品所在行操作列的“设置”,右侧弹出日志接入设置配置页面。
- 在设置页面,单击“日志接入”列的
,关闭接入的云服务日志。
- 编辑数据接入生命周期
- 在云服务接入管理页面,单击对应云服务产品所在行操作列的“设置”,右侧弹出日志接入设置配置页面。
- 在设置页面,单击日志所在行操作列的“编辑”按钮。
- 在弹出的编辑页面,修改“生命周期”配置,输入生命周期时间。
- 修改完成后,单击“确定”。
- 取消自动转告警
- 在云服务接入管理页面,单击对应云服务产品所在行操作列的“设置”,右侧弹出日志接入设置配置页面。
- 在设置页面,单击“自动转告警”列的
,关闭告警映射。