Manajemen log yang sesuai dengan MLPS 2.0 - - Alibaba Cloud Documentation Center

Setelah mengintegrasikan log dari layanan cloud Anda, Anda dapat menggunakan fitur manajemen log untuk menyimpan dan melakukan kueri secara terpusat. Fitur ini membantu Anda mengidentifikasi alert, melacak sumber serangan, mempercepat respons insiden, serta menyederhanakan manajemen log di lingkungan kompleks multi-resource, sehingga memperkuat postur keamanan Anda. Solusi penyimpanan log ini memenuhi persyaratan Undang-Undang Keamanan Siber Tiongkok dan Skema Perlindungan Multi-Tingkat (MLPS) 2.0.

Cara kerja

Fitur manajemen log menyediakan kemampuan penyimpanan dan analisis log terpusat untuk lingkungan multi-cloud, multi-akun, dan multi-layanan, yang disediakan bersama oleh Cloud Threat Detection and Response (CTDR) dan SLS.

Setelah Anda membeli kapasitas penyimpanan log untuk CTDR, layanan ini secara otomatis membuat proyek khusus (dengan nama aliyun-cloudsiem-data-ID akun Alibaba Cloud Anda-RegionID) dan Logstore khusus (dengan nama cloud_siem) di SLS. Proyek dan Logstore tersebut digunakan untuk menyimpan semua data log yang dikumpulkan oleh CTDR. Wilayah penyimpanan log CTDR bergantung pada wilayah layanan yang Anda pilih di pojok kiri atas Konsol Security Center.

Jika Anda memilih China, log yang dikumpulkan oleh CTDR akan disimpan di wilayah China (Shanghai).
Jika Anda memilih Outside China, log yang dikumpulkan oleh CTDR akan disimpan di wilayah Singapura.

Penting

Anda dapat login ke Konsol SLS untuk melihat proyek dan Logstore khusus untuk CTDR. Jangan menghapus proyek atau Logstore tersebut.

Saat Anda mengaktifkan pengiriman log untuk tipe log tertentu, CTDR secara otomatis mengirimkan log tersebut ke Logstore cloud_siem. Log yang dikirimkan disimpan selama periode retensi yang dikonfigurasi, lalu dihapus secara otomatis. Jika kapasitas penyimpanan log Anda penuh, pengiriman log baru akan berhenti. Security Center dapat mengirimkan notifikasi saat kapasitas log yang digunakan melebihi 80% dari total kapasitas. Untuk petunjuk cara mengonfigurasi notifikasi, lihat Pengaturan notifikasi.

Penagihan

Fitur ini menggunakan model penagihan berlangganan berdasarkan kapasitas penyimpanan log yang Anda beli dan durasi langganan. Operasi seperti melakukan kueri atau mengekspor log di Konsol Security Center tidak dikenai biaya tambahan.

Setelah manajemen log mengirimkan log ke SLS, Anda mungkin dikenai biaya tambahan untuk operasi di Konsol SLS, seperti transformasi data atau pengiriman data.

Saat Logstore menggunakan model penagihan pay-by-feature, Anda dikenai biaya oleh SLS untuk transformasi data, pengiriman data, dan traffic baca dari titik akhir publik. Untuk informasi lebih lanjut, lihat Item yang dikenai biaya untuk model penagihan pay-by-feature.
Saat Logstore menggunakan model penagihan pay-by-ingested-data, operasi seperti transformasi dan pengiriman data tidak dikenai biaya. Anda hanya dikenai biaya untuk membaca data dari titik akhir publik sesuai tarif standar SLS. Untuk informasi lebih lanjut, lihat Item yang dikenai biaya untuk model penagihan pay-by-ingested-data.

Manajemen multi-akun

Dalam pengaturan manajemen multi-akun, jika Anda menggunakan akun administrator global untuk login ke Konsol Security Center, Anda harus mengganti tampilan sebelum mengelola log di halaman Log Management. Tampilan tersebut dijelaskan sebagai berikut:

Current Account View: Melihat dan mengelola data log yang disimpan di akun saat ini.
Global Account View: Melihat dan mengelola log yang dikirimkan dari akun Alibaba Cloud dalam cakupan manajemen CTDR ke akun saat ini untuk disimpan.

Penting

Pengiriman log yang diaktifkan baik di Current Account View maupun di Global Account View menggunakan kapasitas penyimpanan log yang dibeli oleh akun administrator global. Data log yang disimpan menjadi milik akun administrator global.
Jika akun Alibaba Cloud yang dikelola oleh akun administrator global CTDR perlu mengelola log-nya sendiri, pemilik akun tersebut harus membeli kapasitas penyimpanan log untuk CTDR secara terpisah dan mengaktifkan pengiriman log di halaman Agentic SOC > Log Management di Konsol Security Center.

Prasyarat

SLS telah diaktifkan. Untuk informasi lebih lanjut, lihat Kumpulkan dan analisis log teks ECS menggunakan LoongCollector.
Log layanan cloud telah dihubungkan. Untuk informasi lebih lanjut, lihat Hubungkan log layanan cloud.

Langkah 1: Aktifkan pengiriman log

Login ke Konsol Security Center.
Di panel navigasi sebelah kiri, pilih Agentic SOC > Manage > Integration Settings. Di pojok kiri atas, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
Di halaman Service Integration, klik Log Settings di pojok kanan atas.
Di bagian Log Delivery Management, aktifkan sakelar di kolom Deliver Log to Hot Data/Enabled and Disabled At untuk tipe log yang diinginkan.
Anda juga dapat memilih beberapa tipe log, lalu klik Batch Deliver Log To.
Atau, di halaman Log Management, Anda dapat mengaktifkan pengiriman untuk suatu tipe log dengan mengaktifkan sakelar di sebelahnya.
(Opsional) Di panel navigasi sebelah kiri, pilih Agentic SOC > Log. Di pojok kiri atas, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland. Di halaman Log Management, klik Deliver All Data di pojok kanan atas untuk mengaktifkan pengiriman log untuk semua sumber data yang terintegrasi.

Catatan

Jika Anda tidak lagi memerlukan penyimpanan tipe log tertentu, Anda dapat menonaktifkan sakelar pengirimannya. Manajemen log akan berhenti menerima log baru dari tipe tersebut.

Langkah 2: Kueri log

Di panel navigasi sebelah kiri, pilih Agentic SOC > Log. Di pojok kiri atas, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
Di pojok kiri atas halaman Log Management, klik All Data Sources. Di daftar drop-down All Data Sources, pilih sumber data yang ingin Anda lihat (layanan cloud dan tipe log).
Tentukan rentang waktu, masukkan pernyataan kueri untuk mencari log, lalu lihat hasil analisisnya.
Metode kueri log di CTDR sama dengan fitur analisis log Security Center. Untuk informasi lebih lanjut, lihat Kueri dan analisis log kustom.

Operasi lainnya

Ubah periode retensi log

Secara default, log yang dikirimkan dari layanan cloud disimpan selama 180 hari. Anda dapat mengubah jumlah hari retensi sesuai kebutuhan.

Di panel navigasi sebelah kiri, pilih Agentic SOC > Manage > Integration Settings. Di pojok kiri atas, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
Di halaman Service Integration, klik Log Settings di pojok kanan atas.
Di panel Log Management, klik Retention Days di kolom Modify untuk mengubah periode retensi log.

Manajemen penyimpanan log

Di halaman Agentic SOC > Log, Anda dapat melihat penggunaan log saat ini dan kapasitas total, serta melakukan scale out atau mengosongkan ruang penyimpanan sesuai kebutuhan.

Klik Scale Out untuk membeli kapasitas penyimpanan log tambahan.
Pastikan Anda memiliki kapasitas penyimpanan log yang cukup, karena log baru tidak dapat ditulis jika penyimpanan penuh.
Klik Clear untuk mengosongkan ruang penyimpanan.
Peringatan
Data log yang telah dikosongkan tidak dapat dipulihkan. Gunakan fitur ini dengan hati-hati. Kami menyarankan agar Anda terlebih dahulu mengekspor dan menyimpan log Anda secara lokal.

Topik terkait

Anda dapat mengunduh log atau hasil kueri menggunakan konsol, Cloud Shell, atau command-line interface (CLI). Untuk informasi lebih lanjut, lihat Ekspor log.
Anda dapat membuat pekerjaan pengiriman data OSS untuk menyimpan log di OSS. Untuk informasi lebih lanjut, lihat Buat pekerjaan pengiriman data OSS (Baru).
Jika ruang penyimpanan log Anda penuh, log baru tidak dapat ditulis. Anda dapat mengaktifkan notifikasi untuk alert kelebihan kapasitas log CTDR agar dapat segera melakukan scale out kapasitas penyimpanan log Anda. Untuk informasi lebih lanjut, lihat Pengaturan notifikasi.