接入日志数据

操作场景

安全云脑支持一键接入WAF、HSS、OBS等多种华为云云产品的日志数据。接入后，可以统一管理日志信息，以及检索并分析所有收集到的日志。具体支持接入的云服务日志请参见支持接入的云服务日志。

每个Region的首个工作空间可自动加载当前Region推荐接入的日志数据（未全部接入）。后续新增的用于自定义运营的工作空间，不会自动加载数据，需要用户自定义接入。

建议将安全云脑管理的资产以及资产的告警、基线检查结果、漏洞数据、日志数据接入同一个工作空间，便于统一运营，进行安全分析关联。

本章节介绍如何接入数据并查看日志存储位置。

约束与限制

• 日志接入操作成功后，日志数据订阅预计在十分钟内生效。
• 安全云脑（SecMaster）支持一键接入CFW日志数据，若接入的是新购买的CFW的日志数据，由于日志上报存在一定的延迟，如果您当天在安全云脑执行了接入CFW日志操作，则将会隔天才能在在安全云脑中查看到上报的CFW日志数据。

接入云服务日志

1. 登录安全云脑 SecMaster控制台。
2. 单击管理控制台左上角的，选择区域和项目。
3. 在页面左上角单击，选择“安全与合规 > 安全云脑 SecMaster”，进入安全云脑管理页面。
4. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。
   图1 进入目标工作空间管理页面
   

5. 在左侧导航栏选择“日志审计 > 云服务接入”，进入云服务日志接入页面。
   图2 云服务接入页面
   

6. 在云服务日志接入页面，配置日志接入。请根据当前region已开通云服务按需进行接入。

   一键接入多个云服务产品的日志，在云服务日志接入页面，单击“一键接入”按钮，右侧弹出“一键接入”配置页面。在一键接入配置页面，下拉选择数据源区域，下拉勾选需要接入的云服务日志。配置完成后，单击右下角“确定”，完成设置。

   图3 云服务日志一键接入配置页面
   

7. 云服务日志接入也支持设置单个云产品的日志接入。在云服务接入管理页面，单击云服务产品所在行操作列的“设置”，右侧弹出日志接入设置配置页面。

   在设置页面，根据需要配置接入开关。

   表1 云服务日志接入设置页面参数说明

   参数名称	参数说明
   日志类型	日志的类型。
   日志接入	设置日志接入开关。按钮打开表示日志接入安全云脑。
   自动转告警	在“自动转告警”列，单击，开启后，当接入的云服务日志满足告警触发条件时，自动转为告警，并且在“告警管理”页面中进行展示。
   生命周期	日志接入后的存储时长。
   日志状态	日志接入的状态。 已接入：日志已接入且执行成功。 未接入：日志未接入。 接入失败：日志接入且执行失败。
   最近活跃时间	最近日志接入时间，即活跃时间。
   操作	单击“编辑”，可设置该日志类型的生命周期，单位天。生命周期指的是日志接入后的存储时长。 若账号已经被运营账号纳管，则只能在运营账号的主工作空间进行日志生命周期的修改，详细操作请参见创建多账号管理。

8. 云服务日志接入配置完成后，在“日志审计 > 云服务接入”页面可查看云服务产品的日志接入状态。
   

   操作成功后，日志数据订阅预计在十分钟内生效。接入完成后，将创建默认数据空间和管道。

查看日志数据及其存储位置

日志数据接入完成后，请前往安全分析的安全数据表页面查看接入的日志数据：

1. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。
2. 在左侧数据空间导航栏中，单击数据空间名称，展开数据管道列后，再单击管道名称，右侧将显示管道数据的检索页面。

   在管道数据检索页面即可查看接入的日志数据。

相关操作

• 取消数据接入
  1. 在云服务接入管理页面，单击待取消接入云服务产品所在行操作列的“设置”，右侧弹出日志接入设置配置页面。
  2. 在设置页面，单击“日志接入”列的，关闭接入的云服务日志。
• 编辑数据接入生命周期
  1. 在云服务接入管理页面，单击对应云服务产品所在行操作列的“设置”，右侧弹出日志接入设置配置页面。
  2. 在设置页面，单击日志所在行操作列的“编辑”按钮。
  3. 在弹出的编辑页面，修改“生命周期”配置，输入生命周期时间。
  4. 修改完成后，单击“确定”。
• 取消自动转告警
  1. 在云服务接入管理页面，单击对应云服务产品所在行操作列的“设置”，右侧弹出日志接入设置配置页面。
  2. 在设置页面，单击“自动转告警”列的，关闭告警映射。

常见问题

• 安全云脑中的日志存储时间是多久？