日志管理

背景信息

云日志服务是一个可以进行实时查询、转储等功能的服务，用户无需开发仅需一键授权，即可利用LTS做实时决策分析。用户授权日志管理后，需先进行安全检测才能查看到态势感知日志数据。

态势感知日志上传到LTS后，默认存储7天。为满足日志存储180天集中审计的要求，您需在LTS“创建日志转储”，将态势感知日志转到对象存储服务（Object Storage Service，OBS）桶中长期存储。

• LTS和OBS独立收费，收费详情请参见华为云定价。
• LTS本地的日志默认存储7天，日志文件定时清除，但不影响已转储的日志。

约束限制

当前仅“华北-北京四”区域的安全数据，支持SA日志管理功能。

前提条件

• 已获取管理控制台的登录账号与密码。IAM用户已配置Tenant Administrator权限，拥有SA操作权限。配置IAM用户权限，请参见IAM创建用户并授权。
  

  • 默认情况下，管理员创建的IAM用户没有任何权限，需要授权Tenant Administrator或Tenant Guest后，IAM用户才能基于被授予的权限操作或查看SA信息。更多权限说明请参见系统权限。
  • 获取权限的IAM用户，可使用同账号下已购买的专业版SA。
• 已购买专业版态势感知，且在有效使用期内。

操作步骤

1. 登录管理控制台。
2. 单击管理控制台左上角的，选择区域或项目。
3. 单击页面的上方的“服务列表”，选择“安全 > 态势感知”。
4. 在左侧导航树中，选择“日志管理”，进入日志管理页面。
   图1 态势感知日志管理页面
   

5. 授权日志管理
   1. 单击“立即授权”，提示“授权”确认信息。
   2. 单击“确认授权”，跳转到云日志服务管理控制台。
   3. 单击“日志管理”，进入“日志管理”列表页面。
   4. 查看已授权创建的日志组和日志主题。
      

      • 授权“日志管理”，且态势感知后台有日志数据上报到LTS后，LTS会默认创建SA日志组和日子流。用户才能在LTS查看和管理SA日志，详细日志查看说明请参考LTS查看日志
      • 日志大约每隔10分钟上报一次，在LTS日志主题中能查看实时日志和搜索近7天内的日志。
      • 用户开启授权日志管理功能后，可在“日志管理”页面单击“云日志平台”，跳转到态势感知的日志组列表管理页面。

6. 创建日志转储
   1. 在云日志服务管理控制台左侧导航栏中，单击“日志转储”，进入“日志转储”列表页面。
   2. 单击“配置转储”，弹出“配置转储”窗口。
   3. “转储方式”选择“OBS”，并设置转储日志其他参数，相关参数说明请参考LTS日志转储。
   4. 单击“确定”，完成日志转储到OBS桶的设置。
      

      设置日志转储功能后，满足安全审计日志存储180天要求。日志数据将长久存储在OBS桶中，用户可在相应OBS桶中查看日志数据。

其他操作

用户开启授权日志管理功能后，在态势感知管理控制台，单击“日志管理”会直接跳转到云日志服务页面。

若用户需取消授权，需在态势感知管理控制台，选择“设置 > 授权设置 > 日志授权”，在“日志授权”界面关闭“授权状态”，详细操作请参考日志授权。