Topik ini menjelaskan cara kerja Layanan Audit Log yang baru, batasannya, detail penagihan, dan kategori integrasi.
Informasi latar belakang
Komputasi awan saat ini banyak digunakan, dan adopsi cloud sudah umum bagi bisnis. Banyak perusahaan dan pengguna individu meng-host berbagai log di cloud untuk keperluan query, audit, dan operasi lainnya.
Audit log adalah persyaratan wajib berdasarkan undang-undang dan regulasi, seperti Undang-Undang Keamanan Siber dan Undang-Undang Keamanan Data Republik Rakyat Tiongkok. Sebagai contoh, Pasal 21, Bagian 3 dari Undang-Undang Keamanan Siber menyatakan bahwa Anda harus "menerapkan langkah-langkah teknis untuk memantau dan mencatat status jaringan serta insiden keamanan siber, dan menyimpan log jaringan terkait setidaknya selama enam bulan sesuai dengan persyaratan." Selama operasi, perusahaan dan organisasi harus mematuhi hukum dan regulasi, seperti Undang-Undang Keamanan Siber dan Undang-Undang Keamanan Data. Kepatuhan ini membantu menjaga keamanan infrastruktur, melindungi hak informasi pengguna, dan memastikan keamanan data jaringan. Dalam praktiknya, perusahaan harus mengklasifikasikan sistem mereka, mengarsipkan hasilnya, melakukan perbaikan, dan melakukan penilaian berdasarkan "Persyaratan Dasar untuk Perlindungan Tingkat Keamanan Siber". Mereka juga harus melakukan pemeriksaan mandiri dan menerima pengawasan serta penilaian dari otoritas industri terkait.
Manajemen Kepatuhan Data adalah masalah kompleks dan profesional bagi banyak perusahaan dan organisasi. Di dunia global saat ini, data perusahaan mungkin disimpan di berbagai wilayah atau organisasi di seluruh dunia. Data ini harus dikelola sesuai dengan persyaratan hukum dan regulasi untuk memastikan keamanan data, melindungi informasi pribadi, dan menjaga keamanan nasional serta kepentingan publik. Pada saat yang sama, data perlu mengalir bebas dan teratur demi tujuan bisnis praktis untuk memaksimalkan nilainya.
Dengan latar belakang ini, kami telah meluncurkan Layanan Audit Log baru. Ini meningkatkan kemampuan integrasi data, mendukung tidak hanya data produk cloud tetapi juga data waktu proses. Anda dapat menggunakan pusat log multi-proyek untuk mengelola data log secara terpusat. Hal ini memungkinkan Anda untuk memusatkan, menanyakan, dan menganalisis log produk cloud dan log waktu proses. Ini juga membantu Anda memenuhi persyaratan kepatuhan data untuk wilayah tertentu dan mengelola aliran data secara legal dan teratur.
Fitur dasar
Platform Layanan Log Sederhana Alibaba Cloud mendukung manajemen log otomatis. Ini menyediakan fitur seperti query log, analisis, penyimpanan, transformasi data, pengiriman, konsumsi, peringatan, dan visualisasi. Berbasis pada platform Layanan Log Sederhana, Layanan Audit Log juga mendukung fitur-fitur berikut:
Mengumpulkan log dari produk cloud
Cakupan Produk Cloud: Layanan Audit Log mencakup banyak produk Alibaba Cloud utama dan jenis log mereka. Saat ini mendukung produk dalam kategori seperti Penyimpanan (SLS, OSS), Jaringan (CLB, ALB, VPC, DNS), Basis Data (RDS, PolarDB), Keamanan (Security Center, Cloud Firewall, Web Application Firewall, Anti-DDoS), dan Audit (ActionTrail, Cloud Config), bersama dengan jenis log terkait.
Pengumpulan Log Otomatis: Layanan Audit Log mendukung pengumpulan log otomatis. Ketika Anda mengintegrasikan produk cloud dengan Layanan Audit Log baru, log baru secara otomatis ditulis ke Logstore tujuan. Jika instance baru ditambahkan atau propertinya berubah di bawah Akun Alibaba Cloud Anda, layanan ini secara otomatis mengumpulkan dan menulis log produk cloud berdasarkan aturan pengumpulan yang telah Anda konfigurasikan.
Aturan Pengumpulan yang Dapat Diatur: Layanan Audit Log menyediakan tiga mode penyaringan sumber daya untuk produk cloud: semua sumber daya, filter berdasarkan instans, dan filter berdasarkan properti. Anda dapat memilih mode yang paling sesuai dengan kebutuhan Anda.
Agregasi Data Lintas Wilayah: Layanan Audit Log menggunakan fitur transformasi data untuk mengumpulkan data log lintas wilayah. Layanan Log Sederhana secara otomatis membuat tugas transformasi data berdasarkan hubungan pengiriman antara Logstore tujuan default dan Logstore tujuan terpusat yang dikonfigurasikan dalam aturan pengumpulan.
Dukungan untuk Beberapa Pusat Log: Anda hanya perlu mengintegrasikan log sekali. Berdasarkan konfigurasi aturan Anda, Anda dapat menggunakan transformasi data untuk mengumpulkan log ke berbagai proyek atau Logstore. Sebagai contoh, Anda dapat mengumpulkan log dari wilayah China (Hangzhou) dan China (Beijing) ke pusat di China (Shanghai), dan log dari wilayah Malaysia dan Indonesia ke pusat di Singapura.
Dukungan untuk Fitur Multi-Akun Direktori Sumber Daya: Administrator atau administrator yang didelegasikan dapat mengonfigurasi pengumpulan multi-akun untuk mengumpulkan semua log dari akun anggota.
Mengumpulkan log waktu proses
Pengumpulan Log Waktu Proses: Layanan Audit Log mendukung pengumpulan log waktu proses dari agen open-source, seperti Tetragon dan Falco, ke dalam Logstore menggunakan Logtail.
Mengumpulkan Log Systemd Journal: Layanan Audit Log mendukung penggunaan Logtail untuk mengumpulkan log Systemd Journal. Anda dapat mengumpulkan log Journal dari host dengan cara yang berbasis kontainer. Ini berlaku untuk skenario Docker dan Kubernetes.
Cara kerjanya
Mengumpulkan log dari produk cloud
Log dari produk cloud pertama kali disimpan di Logstore default masing-masing. Log ini mencakup informasi seperti operasi dan status berjalan.
Untuk informasi lebih lanjut tentang log produk cloud dan nama Logstore terkait, lihat Catatan tentang Pengumpulan Log dari Produk Cloud.
Jika instans produk cloud cocok dengan satu atau lebih aturan pengumpulan, lognya dikumpulkan ke Logstore default.
Layanan Audit Log secara otomatis membuat tugas transformasi data untuk mengumpulkan log dari Logstore default ke proyek yang Anda asosiasikan.
Jenis log produk cloud yang dikumpulkan ditentukan oleh aturan pengumpulan yang Anda konfigurasikan untuk Layanan Audit Log.
Layanan Audit Log secara otomatis mendeteksi instans produk cloud baru atau yang berubah di setiap wilayah di bawah Akun Alibaba Cloud Anda dan menyinkronkan perubahan tersebut dengan aturan pengumpulan.
Jika akun administrator atau akun administrator yang didelegasikan dari Direktori Sumber Daya mengonfigurasi aturan pengumpulan multi-akun, log produk cloud pertama-tama dikumpulkan ke Logstore tujuan default akun anggota. Kemudian, log tersebut di-agregasi ke Logstore pusat akun administrator atau akun administrator yang didelegasikan melalui tugas transformasi data yang dibuat secara otomatis.
Aturan Pengumpulan 1: Mengumpulkan log berdasarkan properti wilayah. Mengirimkan log produk cloud dari wilayah China (Hangzhou) dan China (Shenzhen) ke Logstore terpusat (
xxx_log_center). Logstore ini termasuk dalam proyek terpusat (center-A-cn-shanghai).Aturan Pengumpulan 2: Mengumpulkan log berdasarkan properti wilayah. Mengirimkan log produk cloud dari wilayah Singapura ke Logstore terpusat (
xxx_log_center). Logstore ini termasuk dalam proyek terpusat (center-A-ap-southeast-1).
Mengumpulkan log waktu proses
Dalam skenario Docker dan Kubernetes, Tetragon dan Falco mengumpulkan log waktu proses kontainer dan menulisnya ke file direktori atau output standar. Logtail kemudian mengirimkan log waktu proses kontainer ke Logstore di Layanan Log Sederhana.
Perbandingan aplikasi
Layanan Audit Log Baru vs. Layanan Audit Log Lama
Untuk informasi lebih lanjut, lihat Perbandingan Versi.
Layanan Audit Log Baru vs. Seri CloudLens untuk XX
Ambil CloudLens untuk PolarDB sebagai contoh. Baik Layanan Audit Log maupun CloudLens untuk PolarDB dapat digunakan untuk mengaktifkan log audit untuk PolarDB. Lihat tabel berikut untuk memilih solusi yang sesuai untuk skenario berbeda.
Skenario | Solusi yang Direkomendasikan | Manfaat |
Mengontrol saklar pengumpulan log secara manual | Gunakan CloudLens untuk PolarDB. | Operasi sederhana dan konfigurasi fleksibel. |
Mengumpulkan log produk cloud secara otomatis | Gunakan API Layanan Log Sederhana Kelola aturan pengumpulan layanan cloud untuk mengumpulkan log produk cloud secara otomatis. (Penyimpanan terpusat tidak perlu diaktifkan.) | Konfigurasi massal. |
Penyimpanan terpusat lintas wilayah | Aktifkan aturan terkait di konsol Layanan Audit Log baru. | Sinkronisasi log real-time lintas wilayah untuk memenuhi persyaratan kepatuhan data. |
Penyimpanan terpusat lintas akun (berdasarkan Direktori Sumber Daya) | Aktifkan aturan terkait di konsol Layanan Audit Log baru. | Pengelolaan terpadu log multi-akun untuk memenuhi kebutuhan tata kelola data tingkat perusahaan. |
Layanan Audit Log Baru vs. Aktivasi di konsol produk cloud
Ambil Security Center, WAF 2.0, dan WAF 3.0 sebagai contoh. Anda dapat memilih untuk mengaktifkan pengumpulan log di konsol yang sesuai berdasarkan skenario log Anda.
Produk cloud | Konsol produk cloud | Layanan Audit Log Baru |
Security Center | Gunakan konsol Security Center untuk mengaktifkan Layanan Log Sederhana mengumpulkan log login. | Layanan Audit Log baru hanya melakukan transfer penyimpanan terpusat. Kami merekomendasikan Anda mengaktifkannya di konsol Layanan Audit Log baru untuk skenario berikut:
|
WAF |
Batasan
Layanan Audit Log saat ini hanya tersedia di cloud publik.
Layanan Audit Log baru sedang dalam pratinjau publik. Jika Anda mengalami masalah, silakan kirim tiket.
Penagihan
Fitur Layanan Audit Log gratis. Namun, setelah Anda mengaktifkannya, biaya akan dikenakan untuk penyimpanan log dan lalu lintas log. Biaya ini mencakup item-item berikut:
Jenis Biaya | Deskripsi |
Biaya untuk Logstore Default untuk Log Produk Cloud |
|
Biaya untuk Transformasi Data |
|
Biaya untuk Logstore yang Terkait dengan Layanan Audit Log |
|
Biaya untuk Fitur Produk Cloud | Untuk beberapa log produk cloud, Anda harus mengaktifkan fitur produk cloud terkait sebelum dapat mengaktifkan pengumpulan log. Sebagai contoh, log aliran VPC memerlukan Anda untuk mengaktifkan fitur log aliran, dan log audit RDS memerlukan Anda untuk mengaktifkan SQL Explorer dan fitur audit. Fitur-fitur ini menimbulkan biaya tambahan untuk produk cloud terkait. Untuk informasi lebih lanjut tentang struktur biaya, lihat Catatan tentang Pengumpulan Log dari Produk Cloud. |
Biaya untuk Log Waktu Proses | Penagihan sama dengan Logstore standar, tanpa biaya tambahan. Untuk informasi lebih lanjut tentang item yang dapat ditagih, lihat Item yang Dapat Ditagih dari Metode Penagihan Bayar-per-Fitur dan Item yang Dapat Ditagih dari Metode Penagihan Bayar-per-Data-Ingested. Untuk informasi tentang cara mengurangi biaya penyimpanan Logstore atau menghentikan penagihan untuk Logstore, lihat Bagaimana Cara Saya Mengurangi Biaya Penyimpanan Log?. |
Kategori integrasi produk cloud
Layanan Audit Log saat ini mendukung jenis integrasi produk cloud berikut. Untuk batasan spesifik, lihat Catatan tentang Pengumpulan Log dari Produk Cloud.
Tipe Integrasi Produk Cloud | Dasar Klasifikasi | Batasan dan Deskripsi | Produk Cloud yang Berlaku dan Jenis Log |
Kelas Instans | Mendukung konfigurasi aturan pengumpulan pada granularitas instans (berdasarkan properti seperti ID instans, wilayah instans, dan tag instans). | Log dari instans produk cloud dikirimkan secara default ke Logstore di wilayah tempat instans berada. |
|
Log Global | Aturan pengumpulan hanya dapat dikonfigurasikan pada granularitas global. | Log global dari produk cloud dikirimkan secara default ke Logstore di wilayah tetap. |
|
Keamanan | Konfigurasi aturan bergantung pada mode properti sumber daya untuk mengambil daftar wilayah pengiriman default produk cloud. | Anda perlu mengaktifkan pengumpulan secara manual di konsol produk cloud. Layanan Audit Log hanya melakukan transformasi data terpusat dan agregasi. |
|
ActionTrail dan Cloud Config | Jenis integrasi ini tidak bergantung pada aturan pengumpulan. Sebagai gantinya, ia dihubungkan dengan Layanan Audit Log melalui nama Logstore. | Anda harus mengonfigurasi jejak atau tugas pengiriman secara manual di konsol produk cloud dan menetapkan tujuan ke proyek yang terkait dengan audit saat ini. |
|