All Products
Search

This Product

    Security Center:Integrasikan log produk

    Document Center

    Security Center:Integrasikan log produk

    Last Updated:Apr 25, 2026

    Saat log tersebar di berbagai layanan cloud, alat pihak ketiga, dan aplikasi yang dikelola sendiri, deteksi ancaman terpadu menjadi sulit. Agentic SOC menyediakan Pusat Integrasi terpusat untuk mengumpulkan, menstandarkan, dan menganalisis data log dari sumber mana pun — sehingga Anda dapat menerapkan aturan deteksi yang konsisten di seluruh lingkungan dan merespons ancaman secara efisien.

    Cara kerja

    Agentic SOC menggunakan sistem konfigurasi modular untuk mengotomatiskan ingest log dan standarisasi. Empat komponen bekerja sama membentuk pipeline:

    • Data Source: Lokasi penyimpanan log mentah — biasanya berupa Proyek dan Logstore di Simple Log Service (SLS).

      Catatan

      Agentic SOC mendukung tiga jenis sumber data: Agentic SOC Dedicated Collection Channel, User Log Service, dan Security Center Log Service. Lihat Perbandingan jenis sumber data untuk detailnya.

    • Standardized Rule:

      • Seperangkat instruksi parsing berbasis SPL yang mengekstraksi bidang kunci (seperti IP sumber dan port tujuan) dari log mentah serta mengonversinya ke dalam format terstruktur terpadu Agentic SOC.

        Penting

        Mendukung ingest bidang tambahan dengan pengaturan Keep Original. Perhatikan bahwa hal ini meningkatkan volume traffic ingest, sehingga berdampak pada biaya yang lebih tinggi.

      • Setiap Standardized Rule dikaitkan dengan Dataset — model yang telah ditentukan sebelumnya berisi bidang-bidang standar yang menentukan bidang apa saja yang tersedia untuk analisis log. Lihat Dataset.

    • Standardization Method: Pola teknis untuk memproses log setelah distandarkan. Metode yang didukung adalah Real-time Consumption dan Scan Query. Untuk informasi lebih lanjut, lihat Aturan dan dataset terstandarkan.

    • Access Policy: Konfigurasi inti yang menghubungkan Data Source, Standardization Method, dan Standardized Rule. Kebijakan ini menentukan cara log dibaca, diurai, dan diproses — serta mendorong ingest log otomatis.

    Integrasikan produk Alibaba Cloud

    Berlaku untuk produk Alibaba Cloud yang mengirimkan log ke Logstore SLS Anda, seperti Web Application Firewall (WAF), Cloud Firewall (CFW), dan ActionTrail.

    Bagan alir integrasi

    Parse and Test

    Langkah 1: Aktifkan pengiriman log produk

    Aktifkan fitur audit log untuk produk target dan kirimkan log-nya ke SLS.

    Penting

    Log alert dari produk keamanan Alibaba Cloud yang berada di Logstore pusat dikirimkan secara otomatis ke Agentic SOC — Anda tidak perlu mengaktifkan layanan log produk tersebut untuk log jenis ini. Contohnya termasuk log alert WAF dan log alert CFW.

    1. Buka konsol produk cloud (misalnya WAF atau CFW) dan temukan Log Management atau Simple Log Service. Untuk tautan referensi, lihat Referensi untuk mengintegrasikan log produk Alibaba Cloud ke SLS.

    2. Ikuti dokumentasi produk untuk mengaktifkan pengiriman log. Biasanya langkah ini secara otomatis membuat Project dan satu atau beberapa Logstore di SLS.

      Catatan

      Login ke Konsol Simple Log Service untuk melihat Project dan Logstore yang dibuat oleh produk tersebut. Misalnya, log WAF menggunakan proyek bernama wafnew-logstore.

    Langkah 2: Aktifkan kebijakan akses bawaan

    Aktifkan secara manual

    1. Konfigurasikan sumber data. Agentic SOC menyertakan sumber data yang telah dikonfigurasi sebelumnya untuk produk-produk utama Alibaba Cloud. Verifikasi bahwa konfigurasi ini sesuai dengan informasi Logstore Anda.

      1. Temukan produk cloud.

        1. Login ke Konsol Security Center > Agentic SOC > Management > Integration Settings. Di pojok kiri atas, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.

        2. Pada tab Service Integration, atur Ingestion Settings ke Alibaba Cloud, pilih produk (misalnya Web Application Firewall), lalu klik Ingestion Settings di kolom Tindakan.

      2. Periksa status sumber data.

        1. Klik nama sumber data yang terkait dengan produk tersebut. Halaman akan dialihkan ke tab Data Source.

        2. Periksa status koneksi:

          • Normal: Agentic SOC dapat mengakses Logstore. Lanjutkan ke langkah berikutnya.

          • Abnormal: Konfigurasi salah. Klik Edit di kolom Tindakan dan verifikasi:

            • Informasi instans: Pastikan Region, Project, dan Logstore sesuai dengan yang dibuat di Langkah 1.

            • Layanan log sumber: Pastikan Logstore SLS aktif — Project tidak dinonaktifkan dan log baru sedang ditulis.

          • Not connected: Sumber data belum dikonfigurasi. Klik Edit di kolom Tindakan, lalu klik Create Instance dan pilih Region ID, Project, dan Logstore yang dibuat di Langkah 1.

    2. Aktifkan kebijakan akses bawaan.

      1. Kembali ke tab Service Integration dan buka Access Settings untuk produk tersebut.

      2. Ubah metode standarisasi (opsional). Untuk beberapa kebijakan produk, Anda dapat mengubah Standardization Method antara Real-time Consumption dan Scan Query. Lihat Perbandingan metode standarisasi.

        Penting

        • Jika jenis sumber data adalah Security Center Log Service atau jenis log-nya merupakan log alert, metodenya tetap Real-time Consumption dan tidak dapat diubah.

        • Jika dataset (StoreView) yang terkait dengan Standardization Category or Structure sudah memiliki lima kebijakan Scan Query, pilih Real-time Consumption untuk kebijakan saat ini. Jika tidak, kebijakan tidak dapat diaktifkan.

        Parse and Test

      3. Uji standarisasi log

        Jika Anda mengubah metode standarisasi, jalankan pengujian sebelum mengaktifkan kebijakan.

        Peringatan

        Logstore untuk sumber data harus berisi data. Pengujian tidak dapat dijalankan pada Logstore kosong.

        1. Pemilihan sampel log: Sistem secara otomatis mengambil sampel log dari 7 hari terakhir secara default. Anda juga dapat memilih rentang waktu secara manual.

        2. Sintaks SPL: Sintaks dari aturan standarisasi kebijakan saat ini disinkronkan secara default. Untuk memodifikasi sintaks, buka tab 标准化规则 dan edit aturan tersebut.

        3. Setelah mendapatkan sampel log, klik Parse and Test.

        4. Setelah pengujian berhasil, klik Complete.

      4. Aktifkan kebijakan.

        Nyalakan sakelar di kolom Enabling Status.

        Penting

        Jika Anda mengaktifkan kebijakan akses yang direkomendasikan saat membeli Agentic SOC, kebijakan bawaan untuk Security Center, WAF, Cloud Firewall, dan ActionTrail sudah diaktifkan. Lihat Aktifkan kebijakan akses untuk langganan dan Aktifkan kebijakan akses log untuk bayar sesuai penggunaan.

    Aktifkan secara batch (direkomendasikan)

    Integrasi batch secara otomatis mengaktifkan kebijakan akses dan menemukan sumber data di beberapa produk sekaligus.

    1. Akses Konsol Security Center - Agentic SOC - Management - Access Settings. Di pojok kiri atas halaman, pilih wilayah tempat aset yang ingin dilindungi berada: Chinese Mainland atau Outside Chinese Mainland.

    2. Konfigurasikan integrasi batch.

      Klik Access Settings dan lengkapi konfigurasi:

      • Access Settings:

        • Increment Access: Mempertahankan semua kebijakan akses yang diaktifkan dan hanya menambahkan sumber data serta kebijakan dari konfigurasi saat ini.

        • Full Access: Menimpa dan mengganti semua pengaturan akses yang ada. Kebijakan yang tidak dipilih dalam konfigurasi saat ini akan dinonaktifkan.

          Peringatan

          Full Access merupakan operasi penimpaan. Operasi ini dapat menonaktifkan kebijakan yang sedang berjalan dan mengganggu integrasi data. Lakukan dengan hati-hati.

      • Accessible Account: Pilih akun saat ini dan akun anggota-nya.

      • Alibaba Cloud Services: Pilih produk cloud dan sumber data yang sesuai.

        Catatan

        Untuk mengaktifkan analitik data dengan cepat, klik Use Recommended Policy. Sistem akan memilih sumber data dengan nilai analitik tertinggi untuk setiap produk berdasarkan praktik terbaik.

      • Auto-Add New Data Sources: Saat diaktifkan, Logstore baru secara otomatis dimasukkan ke dalam cakupan pengumpulan sumber data — tidak perlu pembaruan manual.

    3. Konfirmasi dan mulai integrasi data.

      Klik OK. Sistem secara otomatis:

      • Mengintegrasikan semua Logstore: Mengingest semua Logstore yang diaktifkan yang terkait dengan produk dan akun yang dipilih di SLS.

      • Mengaktifkan kebijakan akses: Mengaktifkan kebijakan akses yang sesuai dengan sumber data yang dipilih.

      Penting

      Kebijakan akses baru mungkin memerlukan waktu untuk diterapkan dan diinisialisasi. Tunggu hingga proses selesai sebelum memverifikasi hasilnya.

    4. Konfirmasi status yang diaktifkan.

      1. Kembali ke daftar akses, pilih produk, lalu klik Ingestion Settings di kolom Tindakan.

        Catatan

        Untuk akun anggota, buka Multi-account Access Settings, lalu klik Multi-account Access di kolom Tindakan untuk sumber data target.

      2. Periksa status akses di daftar kebijakan akses. Jika status abnormal, periksa status sumber data. Lihat Periksa status sumber data..

    Langkah 3: Tambahkan kebijakan akses baru (opsional)

    Beberapa produk mendukung kebijakan akses kustom.

    1. Di daftar kebijakan akses, klik Create Access Policy.

      Catatan

      Jika Create Access Policy tidak ditampilkan, produk tersebut tidak mendukung fitur ini.

    2. Di halaman Create Access Policy, pilih Data Source,Standardized Rule, dan Standardization Method. Jika tidak ada opsi yang sesuai, buat sumber data baru dan aturan standarisasi kustom.

      Penting

      Hanya sumber data dari akun saat ini yang didukung. Sumber data dari akun anggota tidak dapat digunakan di sini.

    3. Lengkapi Test Log Standardization dan aktifkan kebijakan tersebut.

    Integrasikan log pihak ketiga

    Agentic SOC mendukung log dari cloud pihak ketiga (Fortinet, Chaitin, Microsoft, Sangfor, Tencent Cloud, Huawei Cloud, Hillstone Networks, Knownsec, dan Microsoft Cloud) serta aplikasi produk kustom.

    Integrasikan log dari produk cloud pihak ketiga

    Produk cloud pihak ketiga dengan log yang tidak berada di SLS

    Untuk produk WAF dan CFW dari Tencent Cloud dan Huawei Cloud, Agentic SOC menyediakan fitur impor data bawaan.

    Produk yang didukung:

    Penyedia cloud

    Produk

    Jenis log

    Tencent Cloud

    Web Application Firewall (WAF)

    Log serangan, log akses

    Cloud Firewall (CFW)

    log peringatan

    HUAWEI CLOUD

    Web Application Firewall (WAF)

    Log serangan, log akses

    Cloud Firewall (CFW)

    Log alert

    Bagan alir integrasi

    Parse and Test

    Prosedur

    1. Buat sumber data. Buat sumber data Agentic SOC khusus untuk menerima data log cloud pihak ketiga. Lewati langkah ini jika Anda sudah memilikinya.

      1. Buka Konsol Security Center > Agentic SOC > Management > Integration Settings. Di pojok kiri atas, pilih wilayah untuk aset yang ingin dilindungi: Chinese Mainland atau Outside Chinese Mainland.

      2. Di tab Data Source, buat sumber data. Lihat Buat sumber data: Log tidak di SLS.

        • Source Data Source Type: Pilih User Log Service atau Agentic SOC Dedicated Collection Channel. Lihat Perbandingan jenis sumber data.

        • Add Instances: Kami menyarankan Anda membuat Logstore baru untuk mengisolasi data.

    2. Impor data. Ikuti Impor data log Huawei Cloud atau Impor data log Tencent Cloud untuk mengimpor data cloud pihak ketiga ke sumber data yang dibuat di Langkah 1.

    3. Konfigurasikan kebijakan akses.

      1. Di tab Service Integration, atur Ingestion Settings ke vendor pihak ketiga (misalnya Huawei Cloud).

      2. Klik Ingestion Settings untuk produk target, lalu klik Create Access Policy.

      3. Konfigurasikan sumber data:

        • Data Source Name: Pilih sumber data yang dibuat di Langkah 1.

        • Standardized Rule: Pilih aturan standarisasi bawaan untuk Huawei Cloud atau Tencent Cloud.

          Catatan

          Anda juga dapat membuat aturan standarisasi kustom.

        • Standardization Method: Hanya Real-time Consumption yang didukung. Scan Query tidak tersedia untuk skenario ini.

      4. Di halaman Test Log Standardization, klik Parse and Test.

        Peringatan

        Logstore yang sesuai dengan sumber data harus berisi data. Jika tidak, pengujian tidak dapat dilanjutkan.

      5. Setelah pengujian berhasil, klik Complete, lalu aktifkan kebijakan tersebut.

    Log pihak ketiga yang sudah berada di SLS

    Jika log dari produk seperti Fortinet, Chaitin, atau Sangfor sudah dikumpulkan ke Logstore SLS (melalui Logtail atau Syslog-ng), ikuti alur ini. Untuk metode pengumpulan data, lihat Ikhtisar pengumpulan data.

    Parse and Test

    1. Konfigurasikan sumber data.

      1. Temukan produk integrasi.

        1. Buka Konsol Security Center > Agentic SOC > Management > Integration Settings. Di pojok kiri atas, pilih wilayah tempat aset yang ingin dilindungi berada: Chinese Mainland atau Outside Chinese Mainland.

        2. Di tab Service Integration, atur Ingestion Settings ke vendor pihak ketiga (misalnya Huawei Cloud). Pilih produk dan klik Region ID.

      2. Perbarui sumber data.

        1. Klik nama sumber data yang terkait dengan produk tersebut. Anda akan dialihkan ke tab Data Source. Klik Edit di kolom Tindakan.

        2. Klik Create Instance dan pilih Region ID, Project, dan Logstore tempat log pihak ketiga disimpan.

          Catatan

          Login ke Konsol Simple Log Service untuk menemukan informasi Logstore.

    2. Aktifkan kebijakan akses bawaan.

      1. Kembali ke tab Service Integration dan buka Access Settings untuk produk tersebut.

      2. Klik Edit di kolom Tindakan untuk kebijakan akses bawaan. Di halaman Test Log Standardization, klik Parse and Test. Lihat Uji standarisasi log.

      3. Setelah pengujian berhasil, klik Complete, lalu aktifkan kebijakan tersebut.

    Integrasikan log dari aplikasi produk kustom

    Aplikasi produk kustom

    Gunakan alur ini untuk mengintegrasikan log dari aplikasi atau produk Anda sendiri yang tidak tercakup oleh integrasi bawaan.

    Sebelum memulai, pastikan hal berikut:

    • Apakah log Anda sudah dikumpulkan di SLS. Jika belum, tentukan apakah akan menggunakan Agentic SOC Dedicated Collection Channel (Agentic SOC membuat dan mengelola Logstore) atau User Log Service (Anda membuat Logstore sendiri).

    • Anda perlu menulis aturan standarisasi kustom berbasis SPL untuk format log Anda.

    Bagan alir integrasi

    Parse and Test

    1. Tambahkan produk.

      1. Akses Konsol Security Center - Agentic SOC - Management - Access Settings. Di pojok kiri atas halaman, pilih wilayah tempat aset yang ingin dilindungi berada: Chinese Mainland atau Outside Chinese Mainland.

      2. Di tab Service Integration, di area Multi-cloud Service Access, klik Add Service dan masukkan Service Provider dan Service Name.

    2. Tambahkan sumber data. Di tab Data Source, klik Add Data Source. Lihat Sumber data.

      • Jika log sudah berada di SLS: Atur Source Data Source Type ke User Log Service dan pilih Logstore yang sesuai.

        Catatan

        Login ke Konsol Simple Log Service untuk menemukan informasi Logstore.

      • Jika log belum berada di SLS:

        • Agentic SOC Dedicated Collection Channel: Agentic SOC secara otomatis membuat Proyek (aliyun-cloudsiem-channel-AlibabaCloudUID-cn-RegionID) dan Logstore di SLS.

        • User Log Service: Buka Konsol Simple Log Service dan buat Logstore terlebih dahulu.

    3. Setelah mengonfigurasi sumber data, rujuk Ikhtisar Pengumpulan Data atau hubungi helpdesk SLS untuk mengumpulkan log produk dan mengirimkannya ke Logstore SLS yang sesuai.

    4. Tambahkan aturan standarisasi.

      Di tab Standardized Rule, klik Create Custom Rule. Lihat Membuat aturan standarisasi kustom.

      Atur vendor dan produk agar sesuai dengan yang Anda tambahkan di Langkah 1.

    5. Tambahkan dan aktifkan kebijakan akses.

      1. Kembali ke tab Service Integration, temukan produk yang ditambahkan di Langkah 1, lalu klik Ingestion Settings di kolom Tindakan.

      2. Di halaman Ingestion Settings, klik Create Access Policy dan konfigurasikan:

        • Data Source: Pilih sumber data yang dikonfigurasi di Langkah 2.

        • Standardized Rule: Pilih aturan yang dikonfigurasi di Langkah 3.

        • Standardization Method: Real-time Consumption atau Scan Query. Lihat Perbandingan metode standarisasi.

          Penting

          Jika jenis sumber data adalah Agentic SOC Dedicated Collection Channel, pilih Real-time Consumption.

      3. Di halaman Test Log Standardization, klik Parse and Test. Lihat Uji standarisasi log.

        Peringatan

        Logstore sumber data harus berisi data. Pengujian tidak dapat dijalankan pada Logstore kosong.

      4. Setelah pengujian berhasil, klik Complete, lalu aktifkan kebijakan tersebut.

    Analisis data terintegrasi

    Setelah mengintegrasikan log produk, konfigurasikan aturan deteksi ancaman untuk menganalisis log, menghasilkan alert, dan merespons risiko keamanan cloud. Lihat Konfigurasikan aturan deteksi ancaman.

    Batasan

    • Batas kebijakan Scan Query: Dataset (yang terkait dengan aturan terstandarkan) mendukung maksimal lima kebijakan akses dalam mode Scan Query.

    • Integrasi multi-akun:

      • Log dari akun anggota hanya dapat diingest menggunakan Real-time Consumption. Scan Query tidak didukung. Lihat Manajemen multi-akun.

      • Kebijakan akses kustom tidak dapat ditambahkan untuk sumber data dari akun anggota.

    • Batasan metode standarisasi: Jika jenis sumber data adalah Agentic SOC Dedicated Collection Channel atau jenis log-nya merupakan log alert, hanya Real-time Consumption yang didukung.

    Penagihan

    Biaya integrasi log bergantung pada jenis sumber data.

    Catatan

    Lihat detail penagihan untuk langganan Agentic SOC, bayar sesuai penggunaan Agentic SOC, dan penagihan SLS.

    Jenis sumber data

    Penagihan Agentic SOC

    Penagihan SLS

    Catatan

    Agentic SOC Dedicated Collection Channel

    Biaya ingest log + biaya penyimpanan dan penulisan log (mengonsumsi Log Ingestion Traffic)

    Biaya traffic internet (bukan penyimpanan atau penulisan)

    Agentic SOC membuat dan mengelola sumber daya SLS, sehingga biaya penyimpanan dan penulisan Logstore ditagih oleh Agentic SOC.

    User Log Service

    Ingest log (mengonsumsi Log Ingestion Traffic)

    Semua biaya: penyimpanan, penulisan, dan transfer data

    SLS mengelola semua sumber daya log dan menagih semua biaya terkait.

    Security Center Log Service

    Mengonsumsi Log Ingestion Traffic

    Tidak ada

    Log internal Security Center. Tidak ada biaya SLS yang berlaku.

    Referensi

    Perbandingan metode standarisasi

    Dimensi

    Real-time Consumption

    Scan Query

    Cara kerja

    Standarisasi saat penulisan: Agentic SOC mengonsumsi log dari sumber data, menstandarkannya, dan menyimpannya di ruang log Agentic SOC.

    Schema-on-read: Membaca log langsung dari sumber data tanpa menyimpan salinan.

    Keunggulan utama

    Kinerja kueri tinggi dan analisis cepat.

    Implementasi ringan dan biaya lebih rendah.

    Penyimpanan log dan biaya

    Jika Anda membeli Log Storage Capacity, log terstandarkan secara otomatis dikirimkan ke Log Management di Agentic SOC. Pengiriman ini mengonsumsi Log Storage Capacity Agentic SOC Anda dan tidak dapat dinonaktifkan.

    Tidak ada salinan yang disimpan. Penyimpanan log mentah ditagih oleh sumber (SLS).

    Jenis sumber data yang berlaku

    Security Center Log Service, User Log Service, Agentic SOC Dedicated Collection Channel

    Hanya User Log Service (tidak termasuk log alert)

    Kinerja dan kuota

    Tidak ada batas jumlah kebijakan akses.

    Maksimal lima kebijakan Scan Query per dataset; indeks lengkap tidak tersedia; kinerja kueri menurun seiring pertambahan volume data yang dipindai; operator parse-json, parse-kv, parse-regexp, parse-csv, expand-values, dan let tidak didukung.

    Akses multi-akun

    Didukung

    Tidak didukung

    Batasan skenario

    Wajib jika sumber data adalah Agentic SOC Dedicated Collection Channel atau jenis log-nya merupakan log alert.

    Tidak ada

    Perbandingan jenis sumber data

    Dimensi

    User Log Service

    Agentic SOC Dedicated Collection Channel

    Security Center Log Service

    Penyimpanan dan pengelolaan log

    Anda mengelola proyek dan Logstore SLS Anda sendiri.

    Agentic SOC secara otomatis membuat dan mengelola proyek dan Logstore SLS khusus.

    Log internal Security Center; tidak disimpan di SLS Anda.

    Metode standarisasi yang didukung

    Real-time Consumption, Scan Query (tidak termasuk log alert)

    Real-time Consumption

    Real-time Consumption

    Kasus penggunaan

    Mengingest log yang dikirimkan ke SLS dari produk Alibaba Cloud (WAF, CFW, dll.) atau dikumpulkan ke SLS dari produk pihak ketiga menggunakan Logtail.

    Mengumpulkan log dari cloud pihak ketiga (Tencent Cloud, Huawei Cloud) yang belum berada di SLS; mengumpulkan log aplikasi kustom tanpa metode pengiriman yang ada.

    Menganalisis log internal Security Center.

    Referensi untuk mengintegrasikan log produk Alibaba Cloud ke SLS

    Referensi Pengumpulan Log Layanan Log (SLS)

    FAQ

    • Mengapa sumber data menampilkan "Abnormal" atau "Not connected"?

      1. Periksa terlebih dahulu role terkait layanan AliyunServiceRoleForSas — role ini harus memiliki setidaknya izin AliyunLogReadOnlyAccess pada Logstore SLS. Ini adalah penyebab paling umum.

      2. Jika izin sudah benar, buka halaman edit sumber data di Agentic SOC dan verifikasi nama Region, Project, dan Logstore (perhatikan kesalahan ketik dan spasi tambahan).

      3. Akhirnya, login ke konsol SLS dan pastikan Project tidak dinonaktifkan serta data baru sedang ditulis.

    • Mengapa kebijakan akses gagal diaktifkan?

      Setiap dataset (StoreView) mendukung maksimal lima kebijakan akses dalam mode Scan Query. Jika Anda telah mencapai batas ini, ubah metode standarisasi kebijakan menjadi Real-time Consumption. Lihat Kebijakan akses gagal diaktifkan.

    • Apa yang harus saya lakukan jika uji standarisasi log gagal atau data tidak dapat diurai?

      1. Pertama, pastikan Logstore SLS berisi data terbaru (sebaiknya ditulis dalam satu jam terakhir) — pengujian tidak dapat dijalankan pada Logstore kosong.

      2. Jika Logstore berisi data tetapi pengujian tetap gagal, periksa apakah pernyataan SPL dalam aturan standarisasi Anda mengurai format log mentah dengan benar. Debug pernyataan SPL di halaman kueri dan analisis di konsol SLS.