全部產品
Search

搜尋本產品

    Security Center:日誌分析至日誌管理遷移指南

    文件中心

    Security Center:日誌分析至日誌管理遷移指南

    更新時間:Nov 18, 2025

    本指南旨在協助您將Security Center的日誌分析服務平滑遷移至功能更強的日誌管理服務。方案採用“並行雙寫、驗證切換”流程,確保在遷移過程中增量日誌資料零丟失,完成服務升級。

    為什麼要遷移至日誌管理?

    日誌管理服務可協助解決日誌分析在資料存放區、跨地區投遞及複雜分析能力方面的局限性。服務功能對比如下:

    對比維度

    日誌分析

    日誌管理

    核心功能

    基礎日誌採集、查詢、警示。

    全功能覆蓋,支援標準SQL進行複雜的關聯查詢與統計,提供更強檢索分析能力(例如支援SQL-92、智能聚類等)

    投遞地區

    系統指定預設地區,不支援自訂。

    支援自訂投遞地區。

    多帳號

    不支援。

    支援。

    儲存周期

    固定180天。

    支援自訂TTL (1-3650天或永久)。

    遷移方案

    遷移流程

    遷移方案的核心是建立並行的日誌資料流,在確保新鏈路穩定可靠後,切換流量並停用舊鏈路。

    1. 並行雙寫:同時啟用日誌管理日誌分析服務,使增量日誌寫入兩個服務。

    2. 資料驗證:對比日誌管理日誌分析服務中的資料,確保日誌管理接收的資料完整、準確。

    3. 切換單寫:確認資料一致後,關閉日誌分析的投遞開關,所有增量日誌僅寫入日誌管理服務。

    4. 處理歷史資料:按需處理日誌分析中的歷史資料(轉存OSS或自然到期刪除)。

    5. 資源清理:退訂日誌分析服務,以停止計費,完成全部遷移工作。

    關鍵風險與相容性說明

    警告

    請在遷移前,務必完成資料備份和代碼改造的評估與實施。

    • 歷史資料丟失風險:在未完成歷史資料備份的情況下,提前清空並退訂日誌分析服務,將導致歷史資料永久丟失。

    • 查詢分析 (SQL)不相容:由於儲存結構的差異,日誌分析(按 Topic)和日誌管理(按 LogStore)需分別適配 SQL 查詢語句,無法通用。

    • 管理類API不相容日誌分析日誌管理在部分管理API(如修改投遞開關等)和專屬功能上,介面欄位、返回結果不相容,需單獨適配。更多API資訊,請參考日誌管理API日誌分析API

    成本評估

    • 雙寫期間成本:在並行寫入階段,會產生雙份的寫入流量和儲存費用。

    • 歷史資料處理成本

      • 選擇匯出至OSS,會產生 OSS 儲存費用。

      • 選擇自然到期,需要繼續支付日誌分析服務最長 180 天的儲存費用。

    實施步驟

    步驟一:啟用並配置日誌管理

    1. 登入控制台

      登入Security Center控制台在左側導覽列,選擇檢測響應 > 日誌管理。在控制台左上方,選擇需防護資產所在的地區:中國內地非中國內地

      說明

      若已開通威脅分析與響應(CTDR)服務,請前往威脅分析與響應 > 日誌管理

    2. 開通服務

      日誌管理頁面,選擇付費模式訂用帳戶購買開通隨用隨付後,根據頁面引導完成開通。詳細內容,請參見開通或關閉日誌管理服務

      • 訂用帳戶

        • 威脅分析與響應是否選購配置項置為

        • 根據業務需求填寫日誌儲存容量,單擊立即下單並完成支付。如何評估容量,請參見CTDR購買說明

      • 隨用隨付:選擇儲存地區後單擊立即開通並授權

    3. 開啟投遞開關

      1. 可在日誌管理頁面單擊右上方的日誌管理設定按鈕。

      2. 日誌儲存管理地區,Security Center日誌頁簽,查看並設定對應日誌類型的投遞狀態。

        說明

        • CTDR預設會在30分鐘內自動開啟所有Security Center日誌類型的投遞開關。

        • 如果未購買應用防護、惡意檔案檢測等增值服務,對應類型的日誌投遞開關預設關閉。

    步驟二:驗證日誌管理的資料寫入

    1. 查詢日誌

      日誌管理頁面,在左上方的日誌類型下拉式清單中,選擇Security Center日誌下的產品日誌後單擊查詢/分析

      重要

      日誌寫入可能存在 1分鐘左右的延遲,請耐心等待。

    2. 核對資料

      建議至少對查詢出的資料核對以下資訊:

      • 即時性:確認最新日誌的時間戳記與目前時間基本一致。

      • 完整性:抽樣對比日誌管理與日誌分析中的日誌,確認欄位齊全、無遺漏。

      • 資料量:觀察單位時間內的日誌量,應與日誌分析服務中的增量大致相當。

    步驟三:停用日誌分析的資料寫入

    警告

    請在完成第二步並確認日誌管理服務正常工作後,再執行此步驟。

    1. 日誌分析服務的頁面,找到對應的日誌投遞開關,並將其關閉

      image

    2. 關閉後新的增量日誌將不再寫入日誌分析服務,僅寫入日誌管理服務。

    步驟四:處理歷史資料

    對於仍在日誌分析服務中且未超過180天儲存周期的歷史資料,參考如下方案處理:

    • 方案一:匯出歷史資料至OSS進行歸檔

      適用於需長期保留歷史資料,以滿足合規審計或未來回溯分析需求的情境。

      • 操作說明

        1. 日誌分析頁面,單擊Log Service進階管理,跳轉至Log Service(SLS)控制台。

        2. 在sas-log日誌庫詳情頁,單擊左側的資料處理 > 匯出 > OSS(Object Storage Service) 

        3. 單擊+,建立投遞任務,投遞配置請參見建立OSS投遞任務(新版)

        4. 歷史資料儲存後,在日誌分析頁面,單擊清空

          警告

          此為無法復原操作,請確認日誌管理資料已正常寫入且所有歷史資料均已儲存完畢。

      • 說明:資料可永久儲存,需要時可通過MaxCompute、Data Lake Analytics等工具進行分析。

    • 方案二:等待歷史資料自然到期

      此方案操作簡單,適用於對歷史資料無長期存檔需求的情境。

      • 操作說明:無需任何操作。在完成增量資料移轉後,只需保持日誌分析服務的開啟狀態,等待其中儲存的日誌資料達到180天生命週期後被系統自動清理。

      • 說明:在此期間,需要繼續為日誌分析服務中儲存的資料支付儲存費用,直到資料完全老化被清空。

    步驟五:退訂日誌分析服務

    歷史資料處理方案執行完畢後,且儲存容量已清空,可參考降配,退訂日誌分析服務,以停止相關計費。

    常見問題

    • 開通日誌管理服務後,為什麼在查詢頁面看不到任何日誌?

      請按以下步驟排查:

      1. 檢查投遞開關:在日誌管理設定中,確認所需日誌類型的投遞開關已開啟。

      2. 等待資料延遲:日誌寫入到可查詢狀態存在1分鐘左右的延遲,請耐心等待片刻後重新整理。

      3. 檢查授權:確保開通服務時已完成對相關雲端服務的授權。

    • 為什麼新舊服務在同一時間段內查詢到的日誌有差異?

      輕微的數量差異(通常在 1% 以內)屬於正常現象,可能由以下原因造成:

      • 查詢時間視窗:兩次查詢的精確起止時間點可能存在毫秒級差異。

      • 資料延遲:新舊兩條鏈路的資料寫入延遲不同,導致在查詢邊界時刻的日誌有細微差別。