CTDR mengintegrasikan log produk, log - Security Center

Ketika log tersebar di berbagai layanan cloud, alat pihak ketiga, atau aplikasi yang dikelola sendiri, deteksi ancaman terpadu dan analisis keamanan menjadi sulit dilakukan. Cloud Threat Detection and Response (CTDR) menyediakan pusat integrasi terpadu untuk membantu Anda mengumpulkan, menstandarkan, dan menganalisis data log dari berbagai sumber secara terpusat. Dengan demikian, Anda dapat menerapkan aturan deteksi yang konsisten di seluruh lingkungan teknis, memperoleh pandangan keamanan yang komprehensif, serta merespons ancaman secara efisien.

Cara kerja

CTDR menggunakan sistem konfigurasi modular untuk mengotomatiskan integrasi dan standarisasi log mentah. Prinsip intinya mengandalkan komponen-komponen utama berikut yang bekerja bersama:

Data Source: Menentukan lokasi penyimpanan log mentah, seperti Project dan Logstore di Alibaba Cloud Simple Log Service (SLS).
Catatan
CTDR mendukung CTDR-Dedicated Channel, User Log Service, dan Security Center Log Service. Untuk informasi lebih lanjut, lihat Perbandingan Jenis Sumber Data.
Standardized Rule:
- Sekumpulan instruksi penguraian berdasarkan sintaks SPL yang mengekstraksi bidang-bidang kunci, seperti IP sumber dan port tujuan, dari berbagai jenis log mentah dan mengonversinya ke dalam format terstruktur CTDR yang terpadu.
- Setiap Standardized Rule dikaitkan dengan Dataset, yaitu model yang telah ditentukan sebelumnya dari bidang-bidang standar. Dataset menentukan bidang-bidang standar yang tersedia untuk analisis log. Untuk informasi lebih lanjut, lihat Dataset.
Standardization Method: Menentukan pola teknis untuk memproses dan mengakses log setelah distandarkan.
Catatan
Metode yang didukung adalah Real-time Consumption dan Scan Query. Untuk informasi lebih lanjut, lihat Perbandingan metode standarisasi.
Access Policy: Konfigurasi inti dari alur ingest log. Kebijakan ini menghubungkan konfigurasi Data Source, Standardization Method, dan Standardized Rule untuk menentukan cara log dibaca, diurai, dan diproses. Hal ini memungkinkan ingest dan standarisasi log secara otomatis.

Mengintegrasikan produk Alibaba Cloud

Proses ini berlaku untuk produk Alibaba Cloud yang sudah mengirimkan log ke Logstore SLS Anda, seperti Web Application Firewall (WAF), Cloud Firewall (CFW), dan ActionTrail.

Bagan alir integrasi

Langkah 1: Aktifkan pengiriman log produk

Sebelum mengintegrasikan log, Anda harus mengaktifkan fitur audit log pada produk cloud target dan mengirimkan log tersebut ke SLS agar CTDR dapat membacanya.

Penting

Untuk log peringatan dari produk keamanan Alibaba Cloud di Logstore pusat, data secara otomatis dikirimkan ke CTDR. Dalam hal ini, integrasi dapat diselesaikan tanpa mengaktifkan layanan log produk cloud tersebut. Contohnya termasuk log peringatan WAF dan log peringatan Cloud Firewall.

Buka konsol produk cloud, seperti WAF atau CFW, lalu temukan titik masuk untuk Manajemen Log atau Simple Log Service. Untuk informasi lebih lanjut, lihat Referensi untuk mengintegrasikan log produk Alibaba Cloud ke SLS.
Ikuti dokumentasi produk untuk mengaktifkan pengiriman log. Operasi ini biasanya secara otomatis membuat Project dan satu atau beberapa Logstore di SLS.
Catatan
Anda dapat masuk ke Konsol Simple Log Service untuk melihat Project dan Logstore untuk log yang dikirimkan oleh produk tersebut. Misalnya, nama project untuk log WAF biasanya wafnew-logstore.

Langkah 2: Aktifkan kebijakan akses bawaan

Aktifkan secara batch otomatis

CTDR mendukung integrasi batch log dari produk Alibaba Cloud. Fitur ini dapat secara otomatis mengaktifkan kebijakan akses dan menemukan sumber data. Prosedurnya sebagai berikut:

Masuk ke konsol
Buka Konsol Security Center - CTDR - Integration Center. Di pojok kiri atas halaman, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
Konfigurasi integrasi batch
Klik Batch Associate Settings dan ikuti petunjuk untuk menyelesaikan konfigurasi.
- Access Settings:
  - Increment Access: Mempertahankan semua kebijakan akses yang diaktifkan dan hanya menambahkan sumber data serta kebijakan dari konfigurasi saat ini.
  - Full Access: Menimpa dan mengganti semua pengaturan akses yang ada. Kebijakan apa pun yang tidak dipilih dalam konfigurasi saat ini akan dinonaktifkan.
    Peringatan
    Ini adalah operasi penimpaan yang dapat secara tidak sengaja menonaktifkan kebijakan yang sedang berjalan dan menyebabkan gangguan integrasi data. Lakukan dengan hati-hati.
- Accessible Account: Pilih akun saat ini dan akun anggota-nya.
- Alibaba Cloud Services: Pilih produk cloud yang akan dihubungkan beserta sumber data yang sesuai.
  Catatan
  Untuk menyederhanakan konfigurasi, CTDR menyertakan kebijakan akses yang direkomendasikan. Jika Anda mengklik Use Recommended Policy, sistem secara otomatis memilih sumber data dengan nilai analitis tertinggi untuk produk cloud yang dipilih berdasarkan praktik terbaik. Hal ini membantu Anda mengaktifkan analitik data dengan cepat.
- Auto-Add New Data Sources: Jika Anda mengaktifkan opsi ini, sistem secara otomatis menyertakan Logstore baru dalam cakupan pengumpulan sumber data saat ini. Anda tidak perlu menambahkannya secara manual.
Konfirmasi dan mulai integrasi data
Setelah menyelesaikan konfigurasi, klik OK. Sistem secara otomatis melakukan operasi berikut:
- Integrasi penuh: Secara otomatis mengintegrasikan semua Logstore yang diaktifkan yang terkait dengan sumber data produk cloud yang dipilih dalam akun yang dipilih di SLS.
- Aktivasi kebijakan: Secara otomatis mengaktifkan kebijakan akses yang sesuai dengan sumber data yang dipilih.
  Penting
  Kebijakan akses baru mungkin memerlukan waktu untuk diterapkan dan diinisialisasi. Harap tunggu hingga proses selesai.
Konfirmasi status yang diaktifkan
1. Kembali ke daftar akses, pilih produk yang akan diakses, lalu klik Access Settings di kolom Tindakan.
  Catatan
  Untuk akun anggota, pada tab Kebijakan Akses di Multi-account Access Settings, klik Multi-account Access di kolom Tindakan untuk sumber data target.
2. Anda dapat melihat status akses di halaman daftar Kebijakan Akses. Jika statusnya abnormal, periksa status sumber data. Untuk informasi lebih lanjut, lihat Periksa status koneksi sumber data.

Aktifkan secara manual

Konfigurasikan sumber data
CTDR telah menyiapkan konfigurasi sumber data untuk produk Alibaba Cloud utama. Anda harus memeriksa konfigurasi ini untuk memastikan bahwa konfigurasi tersebut sesuai dengan informasi Logstore Anda.
1. Temukan produk cloud
  1. Masuk ke Konsol Security Center dan buka CTDR > Integration Center. Di pojok kiri atas halaman, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
  2. Pada tab Service Integration, atur filter Service Provider ke Alibaba Cloud, pilih produk yang akan diintegrasikan, misalnya Web Application Firewall, lalu klik Access Settings di kolom Tindakan.
2. Periksa status sumber data
  1. Klik nama sumber data yang terkait dengan produk tersebut. Halaman akan dialihkan ke tab Data Source.
  2. Temukan sumber data dan periksa status koneksi-nya:
    - Normal: Menunjukkan bahwa CTDR dapat mengakses Logstore. Anda dapat melanjutkan ke langkah berikutnya.
    - Abnormal: Menunjukkan bahwa konfigurasi salah. Klik Edit di kolom Actions sumber data dan verifikasi informasi berikut:
      - Informasi instans: Periksa apakah Wilayah, Project, dan Logstore yang Anda catat di Langkah 1 cocok persis.
      - Layanan log sumber: Pastikan layanan Logstore SLS sedang berjalan. Misalnya, Project tidak dinonaktifkan dan log masih ditulis.
    - Tidak terhubung: Menunjukkan bahwa sumber data belum dikonfigurasi.
      - Klik Edit di kolom Actions sumber data.
      - Klik Create Instance dan pilih informasi Logstore yang dibuat secara otomatis di Langkah 1 (Region ID, Project, dan Logstore).
Aktifkan kebijakan akses bawaan
Jalankan pipeline pemrosesan log agar CTDR dapat menganalisis log produk secara otomatis.
1. Kembali ke tab Service Integration dan buka kembali halaman Access Settings untuk produk tersebut.
2. Ubah metode standarisasi (opsional)
  Untuk beberapa kebijakan produk, Anda dapat mengubah Standardization Method di halaman edit. Metode yang didukung adalah Real-time Consumption dan Scan Query. Untuk informasi lebih lanjut, lihat Perbandingan Metode Standarisasi.
  Penting
  - Jika jenis sumber data adalah Security Center Log Service atau log peringatan, metode standarisasi adalah Real-time Consumption dan tidak dapat diubah.
  - Jika dataset (StoreView) yang terkait dengan Standardization Category or Structure sudah memiliki lima kebijakan akses dengan pola "Scan Query" yang dilampirkan, Anda harus memilih "Real-time Consumption" untuk kebijakan saat ini. Jika tidak, kebijakan akses tidak dapat diaktifkan.
3. Pengujian standarisasi log
  Jika Anda mengubah metode standarisasi, Anda harus melakukan pengujian standarisasi log.
  Peringatan
  Pastikan bahwa Logstore untuk Data Source berisi data. Pengujian standarisasi log tidak dapat dilakukan jika Logstore kosong.
  1. Klik tombol . Sistem mengurai data log menggunakan sintaks SPL dan mengembalikan hasilnya.
  2. Pilih item dari daftar drop-down hasil untuk digunakan sebagai data uji, lalu klik Parse and Test.
  3. Setelah pengujian berhasil, klik Complete.
    Catatan
    Jika pengujian gagal, lihat Apa yang harus saya lakukan jika pengujian standarisasi log gagal atau data tidak dapat diurai? untuk solusinya.
4. Aktifkan kebijakan
  Nyalakan sakelar di kolom Enabling Status kebijakan tersebut.
  Penting
  Jika Anda mengaktifkan kebijakan akses yang direkomendasikan saat membeli CTDR, kebijakan bawaan untuk Security Center, WAF, Cloud Firewall, dan ActionTrail diaktifkan secara default. Untuk mengaktifkan kebijakan akses yang direkomendasikan, lihat Aktifkan kebijakan akses untuk langganan dan Aktifkan kebijakan akses log untuk bayar sesuai penggunaan.

Langkah 3: Tambahkan kebijakan akses baru (opsional)

Beberapa produk mendukung kebijakan akses kustom. Prosedur untuk menambahkan kebijakan akses kustom adalah sebagai berikut:

Pada daftar kebijakan akses, klik Create Access Policy.
Catatan
Jika tombol Create Access Policy tidak ditampilkan, produk tersebut tidak mendukung fitur ini.
Pada halaman Create Access Policy, pilih Data Source, Standardized Rule, dan Standardization Method. Jika tidak tersedia sumber data atau aturan standarisasi yang sesuai, Anda dapat membuat sumber data baru dan aturan standarisasi kustom.
Penting
Anda hanya dapat memilih sumber data yang dimiliki oleh akun saat ini. Sumber data dari akun anggota tidak didukung.
Selesaikan Test Log Standardization dan aktifkan kebijakan tersebut.

Mengintegrasikan log pihak ketiga

CTDR mendukung integrasi log dari cloud pihak ketiga, seperti Fortinet, Chaitin, Microsoft, Sangfor, Tencent Cloud, Huawei Cloud, Hillstone Networks, Knownsec, dan Microsoft Cloud, serta aplikasi produk kustom. Prosedurnya sebagai berikut:

Mengintegrasikan log dari produk cloud pihak ketiga

Log tidak berada di SLS

Untuk produk WAF dan CFW dari Tencent Cloud dan Huawei Cloud, CTDR menyediakan fitur impor data untuk membantu Anda mengintegrasikan log.

Cakupan

Penyedia cloud	Produk	Jenis log
Tencent Cloud	Web Application Firewall (WAF)	Log serangan, log akses
Tencent Cloud	Cloud Firewall (CFW)	Log peringatan
HUAWEI CLOUD	Web Application Firewall (WAF)	Log serangan, log akses
HUAWEI CLOUD	Cloud Firewall (CFW)	Log peringatan

Bagan alir integrasi

Prosedur

Buat sumber data
Buat sumber data CTDR khusus untuk data log cloud pihak ketiga. Jika Anda sudah membuatnya, Anda dapat melewati langkah ini.
1. Buka Konsol Security Center - Threat Analysis and Response - Integration Center. Di pojok kiri atas halaman, pilih wilayah untuk Aset yang ingin Anda lindungi: Chinese Mainland atau Outside Chinese Mainland.
2. Pada tab Data Source, buat sumber data untuk menerima log Tencent Cloud. Untuk informasi lebih lanjut, lihat Buat sumber data: Log tidak berada di SLS.
  - Source Data Source Type: Pilih User Log Service atau CTDR-Dedicated Channel. Untuk informasi lebih lanjut, lihat Perbandingan jenis sumber data.
  - Add Instances: Kami menyarankan Anda membuat Logstore baru untuk mengisolasi data.
Impor data
Merujuk pada Impor data log Huawei Cloud dan Impor data log Tencent Cloud dan impor data cloud pihak ketiga ke sumber data yang Anda buat di Langkah 1.
Konfigurasikan kebijakan akses
1. Kembali ke tab Service Integration dan atur filter Service Provider ke produsen pihak ketiga, seperti Huawei Cloud.
2. Di kolom Tindakan untuk produk target, klik Access Settings. Pada halaman detail kebijakan akses, klik Create Access Policy.
3. Konfigurasikan sumber data seperti dijelaskan di bawah ini:
  - Data Source Name: Pilih sumber data yang Anda buat di Langkah 1.
  - Standardized Rule: Kami menyarankan Anda memilih aturan standarisasi bawaan yang disediakan oleh CTDR yang kompatibel dengan Huawei Cloud atau Tencent Cloud.
    Catatan
    Anda juga dapat merujuk pada Aturan Standarisasi dan Dataset untuk membuat aturan standarisasi kustom.
  - Standardization Method: Hanya Real-time Consumption yang didukung. Scan Query tidak didukung.
4. Pada halaman Test Log Standardization, klik Parse and Test. Untuk informasi lebih lanjut, lihat Pengujian Standarisasi Log.
  Peringatan
  Pastikan bahwa Logstore yang sesuai dengan Data Source berisi data. Jika tidak, Anda tidak dapat melakukan pengujian standarisasi log.
5. Setelah pengujian berhasil, klik Finish. Lalu, aktifkan kebijakan tersebut.

Log berada di SLS

Jika Anda sudah mengumpulkan log dari produk pihak ketiga, seperti Fortinet, Chaitin, dan Sangfor, ke Logstore SLS menggunakan metode seperti Logtail atau Syslog-ng, alur ingest-nya adalah sebagai berikut. Untuk informasi tentang cara mengingest data ke SLS, lihat Ikhtisar pengumpulan data.

Konfigurasikan sumber data
1. Temukan produk integrasi
  1. Buka Konsol Security Center > CTDR > Integration Center. Di pojok kiri atas halaman, pilih wilayah tempat aset yang ingin Anda lindungi berada: Chinese Mainland atau Outside Chinese Mainland.
  2. Atur filter Service Provider ke vendor pihak ketiga (seperti Huawei Cloud). Pilih produk yang akan diintegrasikan (misalnya Web Application Firewall) dan klik Integration Settings di sebelah kanan.
2. Ubah sumber data
  1. Klik nama sumber data yang terkait dengan produk tersebut. Anda akan dialihkan ke tab Data Source. Lalu, klik Edit di kolom Actions sumber data.
  2. Klik Create Instance dan pilih Region ID, Project, dan Logstore tempat log produk pihak ketiga disimpan.
    Catatan
    Anda dapat masuk ke Konsol Simple Log Service untuk melihat informasi Logstore produk cloud tersebut.
Aktifkan kebijakan akses bawaan
1. Kembali ke tab Service Integration dan buka kembali halaman Access Settings untuk produk tersebut.
2. Klik tombol Edit di kolom Tindakan untuk kebijakan akses bawaan target. Pada halaman Test Log Standardization, klik Parse and Test. Untuk informasi lebih lanjut, lihat Pengujian Standarisasi Log.
3. Setelah pengujian berhasil, klik Complete. Lalu, aktifkan kebijakan tersebut.

Mengintegrasikan log dari aplikasi produk kustom

Bagan alir integrasi

Tambahkan produk
1. Buka Konsol Security Center - CTDR - Integration Center. Di pojok kiri atas halaman, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
2. Pada tab Service Integration, di area Multi-cloud Service Access, klik Add Service dan masukkan Vendor Name dan Service Name.
Tambahkan sumber data
Pada tab Data Source, klik Add Data Source. Untuk informasi lebih lanjut, lihat Sumber Data. Konfigurasikan parameter berikut:
- Jika log produk sudah dikumpulkan di SLS, atur Data Source Type ke User Log Service dan pilih Logstore yang sesuai.
  Catatan
  Anda dapat masuk ke Konsol Simple Log Service untuk melihat informasi Logstore produk tersebut.
- Jika log produk belum dikumpulkan di SLS:
  - Jika Anda mengatur Data Source Type ke CTDR Dedicated Channel, CTDR membuat Project khusus (aliyun-cloudsiem-channel-AlibabaCloudUID-cn-RegionID) dan Logstore khusus di SLS.
    CTDR membuat Project khusus (aliyun-cloudsiem-channel-AlibabaCloudUID-cn-RegionID) dan Logstore khusus di SLS.
  - Jika Anda mengatur Data Source Type ke User Log Service, Anda harus terlebih dahulu membuka Konsol Simple Log Service dan membuat Logstore yang sesuai.
  Penting
  Setelah sumber data dikonfigurasi, merujuk pada Ikhtisar Pengumpulan Data atau hubungi helpdesk SLS untuk mengumpulkan log produk dan mengirimkannya ke Logstore SLS yang sesuai.
Tambahkan aturan standarisasi
Pada tab Standardized Rule, klik Create Custom Rule. Untuk informasi lebih lanjut, lihat Buat aturan standarisasi kustom.
Catatan
Pastikan vendor dan produk sesuai dengan produk yang Anda tambahkan di Langkah 1.
Tambahkan dan aktifkan kebijakan akses
1. Kembali ke tab Service Integration, temukan produk yang Anda tambahkan di Langkah 1, lalu klik Access Settings di kolom Tindakan.
2. Pada halaman Pengaturan Ingest, klik Create Access Policy. Pada halaman Buat Kebijakan Ingest, konfigurasikan parameter berikut untuk Data Source dan Standardized Log:
  Data Source: Pilih sumber data yang Anda konfigurasi di Langkah 2.
  Standardized Rule: Pilih aturan yang Anda konfigurasi di Langkah 3.
  Standardization Method: Metode yang didukung adalah Real-time Consumption dan Scan Query. Untuk informasi lebih lanjut, lihat Perbandingan metode standarisasi.
  Penting
  Jika jenis sumber data adalah CTDR Dedicated Channel, pilih Real-time Consumption.
3. Pada halaman Test Log Standardization, klik Parse and Test. Untuk informasi lebih lanjut, lihat Pengujian Standarisasi Log.
  Peringatan
  Pastikan bahwa Data Source Anda memiliki data di Logstore yang sesuai. Jika Logstore kosong, Anda tidak dapat melakukan pengujian standarisasi log.
4. Setelah pengujian berhasil, klik Complete. Lalu, aktifkan kebijakan tersebut.

Menganalisis data terintegrasi

Setelah log produk diintegrasikan, Anda harus mengonfigurasi aturan deteksi ancaman untuk menganalisis log, menghasilkan peringatan dan event keamanan, serta membantu Anda merespons dan menangani risiko keamanan cloud. Untuk informasi lebih lanjut, lihat Konfigurasikan aturan deteksi ancaman.

Kuota dan batasan

Batas mode Scan Query: dataset (terkait dengan Standardized Rule) dapat dilampirkan ke maksimal lima kebijakan akses dalam mode "Scan Query".
Batasan integrasi multi-akun:
- Log dari akun anggota hanya dapat diingest menggunakan mode Real-time Consumption. Scan Query tidak didukung. Untuk informasi lebih lanjut, lihat Fitur manajemen multi-akun.
- Anda tidak dapat menambahkan kebijakan akses kustom untuk sumber data yang dimiliki oleh akun anggota.
Batasan pada metode standarisasi: Jika jenis sumber data adalah CTDR-Dedicated Channel atau jenis log yang diingest adalah "log peringatan", hanya Real-time Consumption yang didukung.

Informasi penagihan

Mengintegrasikan log menggunakan CTDR dapat menimbulkan biaya berikut, tergantung pada jenis sumber data yang Anda pilih:

Catatan

Penagihan untuk langganan CTDR dan CTDR Pay-as-you-go.
Ikhtisar Penagihan SLS.

Jenis sumber data	Item penagihan CTDR	Item penagihan SLS	Catatan
CTDR-Dedicated Channel	Biaya ingest log Biaya penyimpanan dan penulisan log Catatan Item-item ini mengonsumsi Log Ingestion Traffic.	Biaya untuk layanan selain penyimpanan dan penulisan log, seperti lalu lintas internet.	CTDR membuat dan mengelola sumber daya SLS. Oleh karena itu, biaya penyimpanan dan penulisan Logstore ditagihkan oleh CTDR.
User Log Service	Ingest log menimbulkan biaya dan mengonsumsi Log Ingestion Traffic.	Semua biaya untuk log, termasuk penyimpanan, penulisan, dan transfer data.	SLS mengelola semua sumber daya log. SLS menagih semua biaya untuk sumber daya ini.
Security Center Log Service	Ingest log mengonsumsi Log Ingestion Traffic.	Tidak ada	Ini adalah log internal Security Center. Tidak ada biaya SLS yang berlaku.

Referensi

Standardization Method perbandingan

Dimensi perbandingan	Real-time Consumption	Scan Query
Cara kerja	Standarisasi saat penulisan: CTDR mengonsumsi log dari sumber data, menstandarkan log tersebut, lalu menyimpannya di ruang log CTDR.	Schema-on-read: Membaca log langsung dari instans sumber data tanpa menyimpan salinan.
Keunggulan utama	Kinerja kueri tinggi dan analisis cepat.	Penerapan ringan dan biaya lebih rendah.
Penyimpanan log dan biaya	Jika Anda membeli Log Storage Capacity, log yang distandarkan secara otomatis dikirimkan ke Manajemen Log di CTDR. Pengiriman ini mengonsumsi Log Storage Capacity CTDR Anda dan tidak dapat dinonaktifkan.	Salinan log tidak disimpan. Sumber, seperti SLS, menagih penyimpanan log mentah.
Jenis sumber data yang berlaku	Security Center Log Service User Log Service CTDR-Dedicated Channel	User Log Service (tidak termasuk log peringatan)
Kinerja dan kuota	Tidak ada batasan jumlah kebijakan akses.	Batas kebijakan: Setiap dataset mendukung maksimal lima kebijakan scan-and-query. Batas kinerja: Indeks lengkap tidak tersedia. Kinerja kueri menurun seiring meningkatnya volume data yang dipindai. Batas operator: Beberapa operator SPL penguraian dan pemrosesan, seperti `parse-json`, `parse-kv`, `parse-regexp`, `parse-csv`, `expand-values`, dan `let`, tidak tersedia.
Akses multi-akun	Didukung.	Tidak didukung.
Batasan skenario	Anda harus memilih pola ini jika sumber data adalah saluran pengumpulan data khusus CTDR atau jenis log adalah log peringatan.	Tidak ada

Data Source Perbandingan Jenis

Dimensi perbandingan	User Log Service	CTDR-Dedicated Channel	Security Center Log Service
Penyimpanan dan pengelolaan log	Anda mengelola project dan Logstore SLS Anda sendiri.	CTDR secara otomatis membuat dan mengelola project dan Logstore SLS khusus.	Security Center tidak menyimpan log internalnya di SLS Anda.
Metode standarisasi yang didukung	Real-time Consumption, Scan Query (tidak termasuk log peringatan)	Real-time Consumption	Real-time Consumption
Kasus penggunaan	Mengingest log yang dikirimkan ke SLS dari produk Alibaba Cloud seperti WAF dan CFW. Mengingest log yang dikumpulkan ke SLS dari produk pihak ketiga menggunakan alat seperti Logtail.	Mengumpulkan log dari cloud pihak ketiga, seperti Tencent Cloud dan Huawei Cloud, yang belum berada di SLS. Mengumpulkan log aplikasi kustom yang tidak memiliki metode pengiriman yang ada ke SLS.	Menganalisis log internal Security Center.

Referensi untuk mengintegrasikan log produk Alibaba Cloud ke SLS

Web Application Firewall: Log WAF 3.0.
Cloud Firewall: Log Cloud Firewall.
Bastionhost: Arsipkan log audit ke Simple Log Service.
ActionTrail: Log operasi platform.
Anti-DDoS: Memulai analisis log lengkap.
CDN: Praktik terbaik untuk mengirimkan log waktu nyata CDN ke SLS guna menganalisis data akses pengguna.
DCDN: Log akses Global Accelerator.
API Gateway: Log akses API Gateway.
Container Service for Kubernetes: Manajemen Log.
PolarDB: Analisis Log.
ApsaraDB for MongoDB: Log MongoDB.
RDS: Log Audit SQL RDS, Kirimkan log RDS MySQL ke Simple Log Service.
VPC: Log aliran VPC, Log Alamat IP Elastis.
Server Load Balancer (SLB): Log akses ALB, Log akses, Log akses Layer-7 untuk Classic Load Balancer (CLB), dan metrik pemantauan Layer-4 per detik untuk Classic Load Balancer (CLB).
Object Storage Service: Log akses OSS.
File Storage NAS: Analisis log berdasarkan SLS.
CloudConfig: Log Audit Konfigurasi.

FAQ

Mengapa status koneksi sumber data menunjukkan "Abnormal" atau "Tidak terhubung"?
Periksa item-item berikut secara berurutan:
1. Izin RAM: Periksa apakah peran terkait layanan AliyunServiceRoleForSas untuk CTDR memiliki izin untuk mengakses Logstore SLS (minimal AliyunLogReadOnlyAccess). Ini adalah penyebab paling umum.
2. Informasi konfigurasi: Pada halaman edit sumber data di CTDR, periksa apakah nama Wilayah, Project, dan Logstore SLS benar. Pastikan tidak ada kesalahan ejaan atau spasi tambahan.
3. Status Logstore sumber: Masuk ke konsol SLS dan pastikan Project tidak dinonaktifkan serta data baru sedang ditulis ke Logstore.
Mengapa kebijakan akses gagal diaktifkan?
Satu dataset StoreView (ditentukan oleh Standardization Category or Structure di Standardized Rule) dapat dilampirkan ke maksimal lima kebijakan akses dalam mode 'Scan Query'. Jika Anda melebihi batas ini, kebijakan akses gagal diaktifkan. Untuk solusinya, lihat Kebijakan akses gagal diaktifkan.
Apa yang dapat saya lakukan jika pengujian standarisasi log gagal atau data tidak dapat diurai?
- Periksa apakah Logstore sumber berisi data: Pastikan log baru telah ditulis ke Logstore SLS, sebaiknya dalam satu jam terakhir. Jika Logstore kosong, pengujian tidak dapat dilanjutkan.
- Periksa apakah aturan standarisasi cocok: Jika Anda menggunakan aturan kustom, pastikan pernyataan SPL dapat mengurai format log mentah dengan benar. Anda dapat men-debug pernyataan SPL di halaman kueri dan analisis di konsol SLS.