日志管理

背景信息

日志管理是授权LTS采集和管理SA日志数据，可实现实时查询、分析、转储、下载日志数据等功能。用户无需开发仅需一键授权，即可利用LTS做实时决策分析日志数据。

日志管理支持以下特性：

• 授权LTS采集到日志后，日志按事件发生区域，分别上报至LTS各区域的日志组中。

  各区域SA日志组默认为mrd_log_group，日志流按日志数据检测源分类（如HSS、ANTIDDOS等）。

• 日志上报至LTS后，默认存储7天，可设置存储时间为1~30天，超出存储时间将被自动清除。
• 日志上报至LTS后，支持转储至对象存储服务（Object Storage Service，OBS）桶中。
• 日志转储至OBS桶后，支持长久存储和本地下载日志数据。

• LTS和OBS独立收费，收费详情请参见华为云定价。

前提条件

• 已获取管理控制台的登录账号与密码。
• 已购买专业版态势感知，且在有效使用期内。

授权日志管理

1. 登录管理控制台。
2. 单击管理控制台左上角的，选择区域或项目。
3. 如图1示例，进入日志管理页面。
   图1 态势感知日志管理页面
   

4. 单击“立即授权”，提示“授权”确认信息。
5. 单击“确认授权”，跳转到LTS的日志组列表页面，即授权成功。

查看日志

授权LTS日志管理，且SA后台有日志数据上报到LTS后，LTS会自动创建mrd_log_group日志组和相关日志流。此时，用户才能在LTS查看和管理日志数据。

1. 登录管理控制台。
2. 单击管理控制台左上角的，选择区域或项目。
3. 如图2示例，进入日志管理页面。
   图2 态势感知日志管理页面
   

4. 单击“云日志平台”，跳转至LTS日志组列表页面。
5. 找到mrd_log_group日志组，单击日志组名称，进入日志流列表页面。
6. 单击日志流名称，进入日志流详情页面。

   在日志流详情页，默认能查看近7天内的原始日志、实时日志、可视化日志。详细日志查看说明，请参见LTS查看日志。

创建日志转储

为满足安全审计日志存储180天要求，可在LTS设置将日志转储至OBS桶。OBS支持长久存储日志数据，并支持在OBS控制台下载日志文件。

日志转储至OBS详细配置指导，请参见LTS日志转储至OBS。

其他操作

• 取消授权

  若不再需要LTS采集SA日志，可取消日志授权，详细操作请参考日志授权管理。

• 取消转储

  若不再需要将LTS日志转储至OBS，可在日志转储管理页面，删除相应转储配置。