開通日誌分析服務後,如果Cloud Firewall日誌分析的預設配置(包括採集的日誌類型、儲存地區、儲存時間長度)不滿足您的業務需求,您可以根據業務需要調整日誌儲存配置,包括修改採集的日誌類型、日誌的投遞地區以及日誌儲存時間長度,確保日誌管理方案與您的業務戰略保持一致。
前提條件
已開通Cloud Firewall日誌分析服務。具體操作,請參見日誌分析概述。
設定日誌採集類型
日誌分析提供了即時採集資產流量日誌的功能,支援對搜集的資料進行即時檢索和分析,並通過直觀的儀錶盤展示結果,便於您對資產的訪問模式和潛在攻擊行為進行快速分析,為制定有效防護措施提供了關鍵支援。
採集的日誌類型
Cloud Firewall支援採集的流量日誌包括:
互連網流量日誌
攻擊事件記錄:命中互連網邊界防火牆入侵防禦規則的流量日誌。
存取控制日誌:命中互連網邊界防火牆存取控制策略的流量日誌。
其他流量日誌:其他經過互連網邊界防火牆的流量日誌。
VPC流量日誌
攻擊事件記錄:命中VPC邊界防火牆入侵防禦規則的流量日誌。
存取控制日誌:命中VPC邊界防火牆存取控制策略的流量日誌。
其他流量日誌:其他經過VPC邊界防火牆的流量日誌。
DNS流量日誌:所有經過DNS邊界防火牆的流量日誌。
IPv6流量日誌:命中互連網邊界防火牆IPv6存取控制策略的流量日誌。
NAT流量日誌:所有經過NAT邊界防火牆的流量日誌。
修改日誌投遞開關
Cloud Firewall為不同類型的日誌設定了合理的預設投遞開關狀態,具體開關狀態請以控制台為準。您可以根據業務需求修改這些投遞開關的狀態。
關閉投遞功能,不會自動刪除Project及已投遞的日誌,但云防火牆不再採集對應類型的日誌。
在左側導覽列,選擇。在頁面右上方,單擊投递开关,修改日誌類型的投遞開關。
修改日誌儲存地區
日誌分析採集的日誌預設儲存在新加坡地區,對於業務部署不在該地區可能帶來的問題(跨地區日誌同步費用、資料無法對接等),可以採用將日誌儲存地區修改為業務所在或距離較近地區的方式來解決。
切換日誌分析的投遞地區之前,請知悉:
切換後會建立新的日誌庫,原先的日誌庫將被刪除。
切換過程預計需要5~10分鐘完成,在此期間請勿執行與日誌相關的其他動作。
切換期間的日誌將不會投遞和儲存,建議在業務低峰期進行切換。
如果出現切換逾時,請隔5~10分鐘後重新整理檢查是否完成。如仍有問題,請提工單諮詢。
在左側導覽列,選擇。
在頁面右上方,單擊日志投递区域,修改日誌的投遞地區。
修改日誌儲存時間長度
日誌預設儲存時間長度為180天,超過儲存時間長度的日誌將被自動刪除且不可恢複。您可以根據日誌儲存容量和實際需要修改日誌儲存時間長度,日誌儲存時間長度支援設定為7~730天。如果您開通的是按量版Cloud Firewall,且有更高的儲存需求,可以通過Log Service修改儲存時間長度。
日誌儲存空間滿,將不會再採集新的日誌,請合理設定日誌儲存時間長度,並定期關注日誌儲存空間的使用方式。
日誌儲存時間長度修改生效後,Cloud Firewall日誌分析服務將只儲存指定時間長度範圍內的日誌,並自動刪除超出儲存時間長度的日誌。自動刪除需要1~2小時生效。
例如,您將日誌儲存時間由原來的180天修改為30天,儲存生效後,超過30天的日誌將被自動刪除。
在左側導覽列,選擇。
在頁面右上方,單擊日志存储时长,修改日誌的儲存時間後,單擊保存。
管理日誌儲存空間
為避免因日誌儲存空間佔滿,新的日誌資料無法寫入專屬日誌庫而造成日誌資料不完整的情況,建議您定期關注日誌儲存空間的使用方式。
在左側導覽列,選擇。
在日誌查詢頁面右上方,查看日誌使用方式。
該頁面顯示的日誌儲存空間用量並非即時更新,與實際使用方式存在兩個小時的延遲。因此,當日誌儲存空間即將滿時,請提前升級容量或清除日誌。
(可選)如果日誌空間使用率即將滿,您可以升級日誌儲存容量或清空存量日誌。
警告日誌清空後將無法複原,請謹慎使用清空功能。
升級儲存容量:在日誌查詢頁面右上方,單擊升級容量,選擇更大的日誌儲存容量規格,並完成擴容費用支付。
說明日誌分析儲存容量的擴充費用:80美元/1,000 GB/月。購買的月份與Cloud Firewall執行個體的服務時間長度一致,暫不支援修改。
清空存量日誌:在日誌查詢頁面右上方,單擊清空,然後在彈出的提示框中單擊確定。清空日誌約需要1~2小時。
說明開通Cloud FirewallLog Service後,您會擷取4次清空日誌儲存空間的機會。每次續約Cloud Firewall服務時,清空日誌儲存空間的機會將重新重新整理,即重新獲得4次機會。