全部產品
Search

搜尋本產品

    Security Center:產品日誌接入

    文件中心

    Security Center:產品日誌接入

    更新時間:Jan 05, 2026

    當日誌分散在不同的雲端服務、第三方工具或自建應用中時,統一進行威脅檢測和安全分析會變得異常困難。威脅分析與響應(CTDR)提供統一的日誌接入中心,協助您集中採集、標準化並分析來自任何來源的日誌資料。這使您能夠跨越整個技術環境,應用一致的檢測規則,從而獲得全面的安全視野並高效響應威脅。

    工作原理

    CTDR 通過一套模組化的配置體系,實現對原始日誌的自動化接入與標準化,其核心原理是通過以下關鍵組件協同工作:

    • 資料來源:定義原始日誌的儲存位置,如阿里雲Log Service SLS 的 Project 與 Logstore等資訊。

      說明

      支援CTDR專屬資料擷取通道使用者側Log Service中心側Log Service三種類型,更多資訊請參見資料來源類型對比

    • 標準化規則

      • 一套基於SPL文法的解析指令,用於從各類原始日誌中提取關鍵字段(如源IP、目標連接埠等),並將其轉換為 CTDR 統一的結構化格式

      • 每條標準化規則都關聯一個資料集(預設的標準欄位模型),決定了日誌分析時可用的標準欄位,更多資訊請參見資料集

    • 標準化方式:規定了日誌在標準化後被處理與訪問的技術模式。

      說明

      支援即時消費掃描查詢兩種類型,更多資訊請參見標準化方式對比

    • 接入策略:日誌接入流程的核心配置,將“資料來源”、“標準化方式”、“標準化規則”進行綁定,明確日誌的讀取、解析及處理方式,實現日誌的自動接入和標準化。

    接入阿里雲產品

    本流程適用於已將日誌投遞到自有 SLS 日誌庫的阿里雲產品,如 Web Application Firewall(WAF)、Cloud Firewall(CFW)、Action Trail等。

    接入流程圖

    image

    步驟一:開啟產品日誌投遞

    在接入前,必須確保目標雲產品已開啟日誌審計功能,並將其日誌投遞到阿里雲Log Service SLS,這是 CTDR 讀取資料的基礎。

    重要

    阿里雲產品業務中心側日誌庫中的雲安全產品警示日誌,會自動將資料來源投遞至CTDR,無需開通雲產品Log Service即可完成接入。如:WAF的警示日誌、Cloud Firewall警示日誌。

    1. 前往相應雲產品的控制台(如 WAF、CFW 等),找到日誌管理或Log Service相關的功能入口。參考文檔請參見阿里雲產品日誌接入SLS參考

    2. 按照產品文檔指引,開啟日誌投遞功能。此操作通常會自動在 SLS 中建立一個專案(Project)和一個或多個日誌庫(Logstore)

      說明

      登入Log Service控制台,可查看產品投遞日誌的項目(Project)日誌庫(Logstore)。例如,WAF的記錄項目名稱通常為wafnew-logstore

    步驟二:開啟內建接入策略

    批量自動開啟

    CTDR支援批量接入阿里雲雲原生產品日誌,此功能可自動開啟接入策略及探索資料源。操作步驟如下:

    1. 登入控制台

      訪問Security Center控制台-威脅分析與響應-接入中心,在頁面左側頂部,選擇需防護資產所在的地區:中國內地非中國內地

    2. 設定批量接入

      單擊批量接入設定,參考如下說明完成配置。

      • 接入設定方式

        • 增量設定:系統會保留所有已啟用的接入策略,僅在此基礎上新增本次配置的資料來源及策略。

        • 全量設定:完全覆蓋並替換所有已有的接入設定。任何未在當前配置中選中的策略,啟用狀態都將會被關閉。

          警告

          此為覆蓋性操作,可能意外關閉正在啟動並執行策略並導致資料接入中斷,請謹慎操作。

      • 接入帳號範圍:支援選擇當前帳號及其納關的成員帳號。更多關於成員帳號資訊,請參見多帳號統一管理

      • 阿里雲雲產品範圍:選擇要接入雲原生產品及對應的資料來源。

        說明

        為簡化配置流程,CTDR內建了推薦接入策略。單擊使用推薦接入策略按鈕,系統將基於最佳實務,自動為勾選當前雲產品中最具分析價值的資料來源,以協助您快速啟用資料分析。

      • 自動探索並接入資料來源新增日誌庫(Logstore):啟用此選項後,系統會將後續建立的日誌庫自動納入當前資料來源的採集範圍,無需手動添加。

    3. 確認並啟動資料接入

      完成配置後,單擊確定,統將自動完成以下操作:

      • 全面接入:自動接入所選帳號當前在阿里雲Log Service(SLS)內,所選雲產品資料來源關聯的所有已啟用日誌庫(Logstore)。

      • 策略生效: 自動開啟所選資料來源對應的接入策略。

        重要

        新的接入策略需要一定時間進行下發和初始化,請耐心等待片刻。

    4. 確認啟用狀態

      1. 返回接入列表,選擇要接入的產品,單擊操作列的接入設定

        說明

        成員帳號接入情況,請進入多帳號接入設定的接入策略頁簽,單擊目標資料來源操作列的跨帳號接入

      2. 在接入策略列表頁查看接入狀態。若接入狀態異常,請檢測相關資料來源狀態,如何檢查請參考檢查資料來源串連狀態

    手動啟用

    1. 配置資料來源

      CTDR為主流阿里雲產品預置了資料來源配置,需要檢查並確保這些配置與實際日誌庫資訊一致。

      1. 尋找雲產品

        1. 訪問Security Center控制台-威脅分析與響應-接入中心,在頁面左側頂部,選擇需防護資產所在的地區:中國內地非中國內地

        2. 產品接入頁簽,廠商篩選條件設定成阿里云。選擇要接入的產品(如 Web Application Firewall),單擊操作列的接入設定

      2. 檢查資料來源串連狀態

        1. 單擊產品關聯的資料來源名稱,頁面將跳轉至資料來源頁簽。

        2. 定位至目標資料來源,查看其串連狀態:

          • 正常:表示CTDR 可以成功訪問日誌庫,請直接進入下一步。

          • 異常:表示配置有誤,請單擊該資料來源操作列的編輯,並核對以下資訊:

            • 執行個體資訊:核對在步驟一中記錄的地區專案 (Project)日誌庫 (Logstore) 是否完全符合。

            • 源Log Service:確認 SLS 日誌庫本身服務正常,例如 Project 未被停用,日誌仍在持續寫入。

          • 未串連:表示尚未配置資料來源。

            • 請單擊該資料來源操作列的編輯,進入編輯頁面。

            • 單擊新增執行個體,選擇步驟一開通後自動建立的日誌庫資訊(地區(RegionId)項目(Project)日誌庫(Logstore))。

    2. 啟用內建接入策略

      開啟Tlog流水線,實現CTDR自動分析產品日誌。

      1. 返回產品接入頁簽,再次進入目標產品的接入設定頁面。

      2. 修改標準化方式(可選)

        部分產品策略可在編輯頁面修改標準化方式,支援即時消費掃描查詢兩種方式,詳情請參見標準化方式對比

        重要

        • 資料來源類型為中心側Log Service或警示類日誌,其標準化方式為即時消費,不可更改。

        • 標準化分類/結構關聯的資料集(StoreView)已綁定了 5 個“掃描查詢”模式的接入策略,則當前策略請選擇“即時消費”,否則將會導致接入策略開啟失敗。

        image

      3. 日誌標準化測試

        若修改了標準化方式,需要進行日誌標準化測試。

        警告

        請確保資料來源對應的日誌庫(Logstore)有資料,若日誌庫無資料,日誌標準化測試無法進行。

        1. 單擊image按鈕,系統將通過SPL文法對日誌資料進行解析並返回結果。

        2. 在返回結果下拉式清單中選擇一個作為測試資料後,單擊解析並測試

        3. 測試通過後,單擊完成

          說明

          若測試不通過,可參考日誌標準化測試失敗或無法解析出資料怎麼辦?尋找解決方案。

        image

      4. 開啟策略

        開啟目標策略啟用狀態欄的開關,即可開啟接入策略。

        重要

        若在購買CTDR時已開啟推薦接入策略,Security Center、Web Application Firewall、Cloud Firewall和Action Trail產品的內建策略預設是開啟狀態如何開啟推薦接入策略,請參見訂用帳戶模式下開啟接入策略隨用隨付模式下開啟日誌接入策略

    步驟三:新增接入策略(可選)

    部分產品支援自訂接入策略,新增步驟如下:

    1. 在接入策略列表,單擊新增接入策略

      說明

      若無新增接入策略按鈕則說明該產品不支援此功能。

    2. 在建立接入策略頁面選擇對應的資料來源標準化規則標準化方式。若無合適的資料來源和標準化規則,也可建立新的資料來源自訂標準化規則

      重要

      資料來源只能選擇當前帳號下的資料來源,不支援成員帳號資料來源。

    3. 完成日誌標準化測試並開啟策略啟用開關。

    接入第三方日誌

    CTDR支援接入第三方雲(飛塔、長亭、微軟、深信服、騰訊雲、華為雲、山石網科、鬥象科技,微軟雲等)和自訂產品應用的日誌。接入步驟如下:

    接入三方雲產品日誌

    日誌未接入Log Service(SLS)

    CTDR提供資料匯入功能,將三方雲(如騰訊雲、華為雲、Azure等)通過Kafka、S3(Object Storage Service)等渠道匯入CTDR中,協助實現日誌接入。

    接入流程圖

    image

    接入步驟

    1. 建立資料來源

      為三方雲日誌資料建立一個資料來源,若已建立請跳過此步驟。

      1. 訪問Security Center控制台-威脅分析與響應-接入中心,在頁面左側頂部,選擇需防護資產所在的地區:中國內地非中國內地

      2. 資料來源頁簽,建立接收三方雲日誌的資料來源。具體操作請參見建立資料來源:日誌未接入Log Service(SLS)

        • 來源資料源類型:可選擇使用者側Log ServiceCTDR專屬資料擷取通道(推薦),如何選擇可參考資料來源類型對比

        • 接入執行個體:建議建立日誌庫(Logstore),進行資料隔離。

    2. 資料匯入

      參考資料匯入通用操作流程或具體匯入文件(如匯入華為雲日誌資料)說明,將三方雲資料匯入步驟1建立的資料來源中。

    3. 配置接入策略

      1. 返回產品接入頁簽,將廠商篩選條件設定為三方廠商(如華為雲)。

      2. 單擊目標產品操作列的接入設定,在接入策略詳情頁,單擊新增接入策略

      3. 參照如下說明綁定資料來源:

        • 資料來源名稱:選擇步驟1建立的資料來源。

        • 標準化規則:建議選擇CTDR提供的適配三方雲的內建標準化規則(如華為雲-WAF日誌)。

          說明

          也可參考標準化規則和資料集,建立自訂標準化規則。

          image

        • 標準化方式:僅支援即時消費,不支援掃描查詢

      4. 日誌標準化測試頁面,單擊解析並測試,具體步驟可參考日誌標準化測試

        警告

        請確保資料來源對應的日誌庫(Logstore)有資料,若日誌庫無資料,日誌標準化測試無法進行。

      5. 測試通過後,單擊完成。在完成頁面,開啟策略啟用開關。

    日誌已接入Log Service(SLS)

    如果第三方產品(如飛塔、長亭、深信服等)日誌已經通過如 LoongCollector等方式採集到了 SLS 日誌庫中,則接入流程如下。如何將資料接入SLS,請參見Log Service(SLS)日誌採集參考

    image

    1. 配置資料來源

      1. 尋找接入產品

        1. 訪問Security Center控制台-威脅分析與響應-接入中心,在頁面左側頂部,選擇需防護資產所在的地區:中國內地非中國內地

        2. 廠商篩選條件設定為三方廠商(如飛塔)。選擇要接入的產品(如 Web Application Firewall),單擊其右側的接入設定

      2. 修改資料來源

        1. 單擊產品關聯的資料來源名稱,頁面將跳轉至資料來源頁簽。然後單擊目標資料來源操作列的編輯按鈕。

        2. 單擊新增執行個體,選擇三方產品日誌儲存地區(RegionId)項目(Project)日誌庫(Logstore)

          說明

          可登入Log Service控制台查看雲產品對應的日誌庫資訊。

    2. 開啟內建接入策略

      1. 返回產品接入頁簽,再次進入目標產品接入設定頁面。

      2. 單擊目標內建接入策略操作列編輯按鈕。在日誌標準化測試頁面,單擊解析並測試,具體步驟可參考日誌標準化測試

      3. 測試通過後,單擊完成。在完成頁面,開啟策略啟用開關。

    接入自訂產品應用日誌

    接入流程圖

    image

    1. 新增產品

      1. 訪問Security Center控制台-威脅分析與響應-接入中心,在頁面左側頂部,選擇需防護資產所在的地區:中國內地非中國內地

      2. 產品接入頁簽,多雲產品接入地區單擊新增產品按鈕,填寫廠商名稱產品名稱

    2. 新增資料來源

      資料來源頁簽內,單擊建立資料來源。具體操作可參見資料來源,配置說明如下:

      • 若產品日誌已採集至SLSLog Service,請將資料來源類型設定為使用者側Log Service,並選擇對應的日誌庫。

        說明

        可登入Log Service控制台查看產品的日誌庫資訊。

      • 若產品日誌尚未採集至SLSLog Service

        • 若設定資料來源類型CTDR專屬資料擷取通道(推薦)。

          CTDR將在SLS建立專屬專案Project(aliyun-cloudsiem-channel-阿里雲UID-cn-地區ID)和專屬日誌庫Logstore。

        • 若設定資料來源類型使用者側Log Service,請先前往Log Service控制台,建立對應的日誌庫。

    3. 將日誌接入Log Service(SLS)

      資料來源配置完畢後,請儘快將產品日誌採集至SLS對應的日誌庫Logstore。具體採集操作,請參見Log Service(SLS)日誌採集參考

    4. 新增標準化規則

      標準化規則頁簽內,單擊建立自訂規則,具體操作可參見建立自訂標準化規則

      說明

      廠商和產品請和步驟1中新增的產品保持一致。

    5. 新增並啟用接入策略

      1. 返回產品接入頁簽內,找到步驟1中新增的產品,單擊操作列接入設定

      2. 在接入設定頁,單擊新增接入策略,並在建立接入策略頁面完成資料來源標準化日誌的配置。配置說明如下:

        資料來源:選擇步驟2配置的資料來源。

        標準化規則:選擇步驟3配置的規則。

        標準化方式:支援即時消費掃描查詢兩種方式,詳情請參見標準化方式對比

        重要

        若資料來源類型為CTDR專屬資料擷取通道,請選擇“即時消費”。

      3. 日誌標準化測試頁面,單擊解析並測試,具體步驟可參考日誌標準化測試

        警告

        請確保資料來源對應的日誌庫(Logstore)有資料,若日誌庫無資料,日誌標準化測試無法進行。

      4. 測試通過後,單擊完成。在完成頁面,開啟策略啟用開關。

    分析接入資料

    產品日誌接入後,需要配置威脅檢測規則才可對接入的日誌進行分析,用於產生警示與安全事件,實現快速響應和處置雲上安全風險,具體操作請參規則管理

    配額與限制

    • 掃描查詢模式限制:一個資料集(關聯標準化規則)最多隻能綁定5個“掃描查詢”模式的接入策略。

    • 多帳號接入限制

      • 成員帳號日誌僅能通過 即時消費 模式接入,不支援掃描查詢。更多資訊參見多帳號統一管理

      • 屬於成員帳號的資料來源,不支援自訂新增接入策略。

    • 標準化方式限制:當資料來源類型為“CTDR專屬資料擷取通道”,或接入的日誌類型為“警示日誌”時,僅支援“即時消費”。

    計費說明

    使用CTDR接入日誌可能涉及以下費用,具體取決於選擇的資料來源的類型:

    說明

    資料來源類型

    CTDR計費項目

    SLS計費項目

    特別說明

    CTDR專屬資料擷取通道

    • 日誌接入費用

    • 日誌儲存、寫入費用

    說明

    以上均消耗日志接入流量

    除日誌儲存和寫入外的其他費用(如公網流量等)。

    由CTDR 建立並管理 SLS 資源,因此日誌庫儲存和寫入費用由CTDR出賬。

    使用者側Log Service

    日誌接入費用,消耗日志接入流量

    日誌相關所有費用(包含日誌儲存和寫入、公網流量費用等)。

    日誌資源全部由Log Service(SLS)管理,因此日誌相關費用,均由SLS出賬。

    中心側Log Service

    日誌接入費用,消耗日志接入流量

    此為Security Center內部日誌,不涉及 SLS 費用。

    參考資訊

    標準化方式對比

    對比維度

    即時消費

    掃描查詢

    工作原理

    寫時標準化:CTDR從資料來源消費日誌,標準化後儲存於CTDR日誌空間。

    讀時標準化:直接從資料來源執行個體讀入日誌,不儲存副本。

    核心優勢

    查詢效能高,分析速度快。

    部署輕量,成本更低。

    日誌儲存&費用

    若購買了日誌儲存容量,標準化日誌將會自動投遞至CTDR的日誌管理中,且不支援投遞開關的啟停操作,消耗CTDR日誌儲存容量

    不儲存日誌副本,原始日誌的儲存費用由源端(如SLS)承擔。

    適用的資料來源類型

    • 中心側Log Service

    • 使用者側Log Service

    • CTDR專屬資料擷取通道

    使用者側Log Service(警示日誌除外)

    效能與配額

    無接入策略數量限制。

    • 策略限制:每個資料集最多綁定5個掃描查詢策略。

    • 效能限制:無全量索引,效能與掃描資料量成反比。

    • 運算元限制:部分解析和處理類 SPL 運算元(parse-json、parse-kvparse-regexpparse-csvexpand-valueslet等)不可用。

    多帳號接入

    支援。

    不支援。

    情境限制

    當資料來源為CTDR專屬資料擷取通道 或日誌類型為警示日誌時,必須選擇此模式。

    資料來源類型對比

    對比維度

    使用者側Log Service

    CTDR專屬資料擷取通道

    中心側Log Service

    日誌儲存與管理方式

    使用者自行管理其 SLS 專案(Project)和日誌庫(Logstore)。

    由 CTDR 自動建立並管理專屬的 SLS 專案和日誌庫。

    Security Center自身產生的內部日誌,不儲存在使用者 SLS 中。

    支援的標準化方式

    即時消費掃描查詢(警示日誌除外)

    即時消費

    即時消費

    典型應用情境

    • 接入已投遞至 SLS 的阿里雲產品日誌(如WAF、CFW)。

    • 接入已通過 Logtail 等方式採集到 SLS 的第三方產品日誌。

    • 接入尚未採集到 SLS 的第三方雲日誌(如騰訊雲/華為雲)。

    • 接入無現有 SLS 投遞方案的自訂應用日誌。

    分析Security Center自身的內部日誌。

    阿里雲產品日誌接入SLS參考

    Log Service(SLS)日誌採集參考

    常見問題

    • 資料來源串連狀態顯示“異常”或“未串連”,如何排查?

      請按以下順序排查:

      1. RAM許可權:檢查 CTDR 的服務關聯角色 AliyunServiceRoleForSas 是否具有訪問目標 SLS 日誌庫的許可權(至少 AliyunLogReadOnlyAccess)。這是最常見的原因。

      2. 配置資訊:在 CTDR 的資料來源編輯頁面,仔細核對 SLS 的地區專案(Project)日誌庫(Logstore)名稱是否完全正確,無拼字錯誤或多餘空格。

      3. 源日誌庫狀態:登入SLS控制台,確認對應的Project未被禁用,且日誌庫中有持續寫入的最新資料。

    • 為什麼接入策略啟用失敗?

      同一個資料集StoreView(由“標準化規則”中的“標準化分類/結構”決定)最多隻能綁定5個“掃描查詢”模式的接入策略,超出此限制將導致接入策略啟用失敗,解決方案請參見接入策略啟用失敗

    • 日誌標準化測試失敗或無法解析出資料怎麼辦?

      • 檢查源日誌庫是否有資料:確保 SLS 日誌庫在近期(通常是過去一小時內)有新的日誌寫入,如果日誌庫為空白,測試將無法進行。

      • 檢測標準化規則是否匹配:如果配置自訂規則,請確認編寫的 SPL 語句能夠正確解析原始日誌格式,可在 SLS 控制台的查詢分析頁面調試的SPL語句。