接入日志数据

操作场景

安全云脑支持一键接入WAF、HSS、OBS等多种华为云云产品的日志数据。接入后，可以统一管理日志信息，以及检索并分析所有收集到的日志。具体支持接入的云服务日志请参见支持接入的云服务日志。

每个Region的首个工作空间可自动加载当前Region推荐接入的日志数据（未全部接入）。后续新增的用于自定义运营的工作空间，不会自动加载数据，需要用户自定义接入。

建议将安全云脑管理的资产以及资产的告警、基线检查结果、漏洞数据、日志数据接入同一个工作空间，便于统一运营，进行安全分析关联。

本章节介绍如何接入数据并查看日志存储位置。

约束与限制

数据集成操作成功后，日志数据订阅预计在十分钟内生效。

接入云服务日志

1. 登录管理控制台。
2. 单击管理控制台左上角的，选择区域和项目。
3. 在页面左上角单击，选择“安全与合规 > 安全云脑 SecMaster”，进入安全云脑管理页面。
4. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。
   图1 进入目标工作空间管理页面
   

5. 在左侧导航栏选择“设置 > 数据集成”，进入云服务日志接入页面。
   图2 数据集成页面
   

6. 在待接入云产品的“审计相关日志”列，单击，开启接入的云服务日志。

   请根据当前region已开通云服务按需进行接入。例如，当前region已开通HSS服务且已有数据，需要将HSS数据接入安全云脑中进行统一管理和分析，则可以开启HSS日志接入。

   如果当前region已有所有已支持云服务，且需要接入当前region所有支持的云产品的日志，可直接单击“一键接入服务日志”前的按钮，一键接入当前region所有云服务日志。

7. 设置生命周期。

   请根据需要设置数据存储日期。

8. 设置是否自动转告警。

   在待设置云产品的“自动转告警”列，单击，开启接入的云服务日志满足告警条件时，自动转为告警，并且在“告警管理”页面中进行展示。

   

   • 如果此处未开启自动转告警，在对应日志满足告警条件时，将不会转为告警，也不会在“告警管理”页面中进行展示。
   • 在安全云脑的“漏洞管理”页面可以接入主机漏洞扫描结果，如果数据集成操作时接入了主机漏洞扫描结果，但是未开启自动转告警，则在“漏洞管理”将不会展示主机相关的漏洞扫描情况。

9. 单击“保存”，并在弹出的配置保存框中，单击“确定”。
   

   操作成功后，日志数据订阅预计在十分钟内生效。接入完成后，将创建默认数据空间和管道。

查看日志数据及其存储位置

日志数据接入完成后，请前往安全分析的安全数据表页面查看接入的日志数据：

1. 在目标工作空间内的左侧导航栏选择“威胁管理 > 安全分析”，进入安全分析页面。
2. 在左侧数据空间导航栏中，单击数据空间名称，展开数据管道列后，再单击管道名称，右侧将显示管道数据的检索页面。

   在管道数据检索页面即可查看接入的日志数据。

相关操作

• 取消数据接入
  1. 在待取消接入云产品的“审计相关日志”列，单击，关闭接入的云服务日志。
  2. 单击“保存”，并在弹出的配置保存框中，单击“确定”。
• 编辑数据接入生命周期
  1. 在待编辑云产品的“生命周期”列，输入生命周期时间。
  2. 单击“保存”，并在弹出的配置保存框中，单击“确定”。
• 取消自动转告警
  1. 在待取消云产品的“自动转告警”列，单击，关闭告警映射。
  2. 单击“保存”，并在弹出的配置保存框中，单击“确定”。

常见问题

• 安全云脑中的日志存储时间是多久？