開通日誌分析服務後,若Cloud Firewall日誌分析的預設配置無法滿足業務需求,您可根據實際需要調整日誌儲存配置,包括:修改採集的日誌類型、日誌投遞地區及日誌儲存時間長度,以確保日誌管理方案與業務戰略一致。
操作前提:進行如下操作前,請確保已開通日誌分析服務,具體操作,請參見開通日誌分析服務。
進入控制台:登入Cloud Firewall控制台。在左側導覽列,選擇。
設定日誌採集類型
Cloud Firewall支援採集的流量日誌包括:
互連網流量日誌
攻擊事件記錄:命中互連網邊界防火牆入侵防禦規則的流量日誌。
存取控制日誌:命中互連網邊界防火牆存取控制策略的流量日誌。
其他流量日誌:其他經過互連網邊界防火牆的流量日誌。
VPC流量日誌
攻擊事件記錄:命中VPC邊界防火牆入侵防禦規則的流量日誌。
存取控制日誌:命中VPC邊界防火牆存取控制策略的流量日誌。
其他流量日誌:其他經過VPC邊界防火牆的流量日誌。
DNS流量日誌:所有經過DNS邊界防火牆的流量日誌。
IPv6流量日誌:命中互連網邊界防火牆IPv6存取控制策略的流量日誌。
NAT流量日誌:所有經過NAT邊界防火牆的流量日誌。
修改Cloud Firewall採集的日誌類型:在日誌分析頁面右上方,單擊投递开关,修改日誌類型的投遞開關。
關閉某日誌類型的投遞開關後,系統不會自動刪除對應的 Project 及已投遞的日誌,但云防火牆將停止採集該類型的日誌。
修改日誌儲存地區
日誌分析採集的日誌預設儲存在新加坡地區,對於業務部署不在該地區可能帶來的問題(跨地區日誌同步費用、資料無法對接等),可以採用將日誌儲存地區修改為業務所在或距離較近地區的方式來解決。
切換日誌分析的投遞地區之前,請知悉:
切換後會建立新的日誌Project,原先的日誌Project將被刪除。如需保留原日誌,請手動進行備份。
切換過程預計需要5~10分鐘完成,在此期間請勿執行與日誌相關的其他動作。
切換期間的日誌將不會投遞和儲存,建議在業務低峰期進行切換。
操作步驟:在日誌分析頁面右上方,單擊日志设置,完成日志投递模式與投递区域配置。
日志投递模式:支援单地域投递與双地域投递。預設採用单地域投递模式,若存在中國內地與非中國內地的多地區資產,且需滿足日誌合規要求,可選擇双地域投递模式。啟用双地域投递後,需分別為每個地區獨立配置儲存容量和儲存時間長度。
重要選擇双地域投递時,每個地區分配的日誌儲存容量至少為1TB。
舊版隨用隨付1.0計費方式不支援此功能,如需使用,請升級至新版計費方式。
每個月僅有三次切換投遞模式的機會。
投递区域:從支援的地區列表中選擇日誌投遞的地區。
修改日誌儲存時間長度
日誌預設儲存時間長度為 180 天,超過該期限的日誌將被自動刪除且不可恢複。您可根據日誌儲存容量及業務需求調整儲存時間長度,支援設定範圍為 7 至 730 天。
當日誌儲存空間達到上限時,系統將停止採集新日誌。請合理設定日誌儲存時間長度,並定期關注儲存空間使用方式。
修改日誌儲存時間長度生效後,Cloud Firewall日誌分析服務僅保留指定時間長度範圍內的日誌,並自動刪除超出該時間長度的日誌。自動刪除操作通常在 1 至 2 小時內完成。例如,若將日誌儲存時間長度從 180 天調整為 30 天,配置生效後,超過 30 天的日誌將被自動刪除。
操作步驟:在日誌分析頁面右上方,單擊日志设置,在存储时长地區進行修改。
日誌儲存空間擴容
為避免因日誌儲存空間佔滿導致新日誌無法寫入日誌庫,進而造成日誌資料不完整,建議您定期關注日誌儲存空間的使用方式。
查看儲存空間使用量:在日誌分析頁面右上方,查看儲存空間使用方式。
該頁面顯示的日誌儲存空間用量並非即時更新,與實際使用方式存在兩個小時的延遲。因此,當日誌儲存空間即將滿時,請提前升級容量或清除日誌。
儲存空間擴容:在日誌分析頁面右上方,單擊变配容量,選擇更大的日誌儲存容量規格,並完成擴容費用支付。若選擇了双地域投递模式,升級儲存容量後,需要手動分配容量至指定的投遞地區。
清空存量日誌:在日誌分析頁面右上方,單擊清空,然後在彈出的提示框中單擊確定。清空日誌約需要1~2小時。
警告日誌清空後將無法複原,請謹慎使用清空功能。
開通Cloud FirewallLog Service後,您將擷取4次清空日誌儲存空間的機會。每次續約Cloud Firewall服務時,清空日誌儲存空間的機會將重新重新整理,即重新獲得4次機會。