全部產品
Search

搜尋本產品

    Security Center:日誌管理

    文件中心

    Security Center:日誌管理

    更新時間:Nov 01, 2025

    日誌管理功能可以對日誌進行儲存和查詢,以便協助您精準定位警示、進行攻擊溯源、提高響應速度。本文介紹日誌管理服務的基本資料,以及如何使用日誌管理服務。

    日誌類型說明

    日誌類型

    使用條件

    資料來源說明

    支援的類別及欄位說明

    Security Center日誌

    開通日誌管理功能。

    儲存阿里雲Security Center各功能模組產生的日誌。例如漏洞日誌、安全警示日誌、用戶端事件記錄等。

    日誌類別及欄位說明

    標準化日誌

    開通日誌管理功能和威脅分析與響應功能。

    • 儲存阿里雲使用者訂用帳戶購買日誌接入流量或開通CTDR隨用隨付後,接入策略的標準化方式為即時消費時產生的標準化日誌。

    • 建立自訂規則後,儲存自訂規則產生的標準化警示日誌,例如端點檢測與響應警示日誌、防火牆警示日誌等。

    在Security Center控制台威脅分析與響應 > 接入中心頁面標準化規則頁簽,單擊查看標準欄位,即可在標準欄位列表面板,查看標準化日誌的分類及欄位說明。

    計費說明

    • 訂用帳戶模式:按照您購買的日誌儲存容量和購買時間長度收取費用,100美元/1000GB/月(1,000 GB起售,購買步長為1,000 GB)。

    • 隨用隨付模式:開通日誌管理隨用隨付後,系統會統計每個自然日的日累計儲存量(GB),按照7.2美元/1000GB,以自然日為單位計費。

      重要

      日誌管理隨用隨付的最小計費單位為1000GB,不足1000GB的部分,按照1000GB計費。例如:若當日用量為1900GB,則按2000GB收費。

    在Security Center控制台進行日誌查詢、匯出等操作時,不會產生其他費用。日誌管理功能將日誌投遞到Log Service後,如果您在Log Service控制台對日誌資料進行加工、投遞等操作,您可能需要額外支付該部分費用。

    • 當Logstore的計費模式為按使用功能計費時,在Log Service進行資料加工、投遞、從外網存取點流式讀取資料操作,由Log Service收取加工計算費用、資料投遞費用和外網讀取流量費用。更多資訊,請參見按使用功能計費模式計費項目

    • 當Logstore的計費模式為按寫入資料量計費時,在Log Service進行資料加工、投遞等操作免費,僅在Log Service進行外網資料讀取時將按照Log Service標準方式收費。更多資訊,請參見按寫入資料量計費模式計費項目

    日誌儲存說明

    開通日誌管理服務後,系統會在Log Service自動建立一個專屬Project(命名為aliyun-cloudsiem-data-阿里雲帳號ID-RegionID)和Logstore,用於儲存Security Center日誌和標準化日誌。日誌的儲存地區取決於您在Security Center控制台左上方選擇的服務所在地區。

    • 選擇中國內地時,日誌預設將儲存在華東2(上海)地區。

    • 選擇非中國內地時,日誌將儲存在新加坡地區。

    重要

    • 僅在開通日誌管理隨用隨付時出現的彈框中,支援修改日誌儲存地區。通過訂用帳戶方式購買的日誌儲存容量的使用者,不支援修改日誌儲存地區。

    • 您可以登入Log Service控制台查看專屬Project和Logstore,請勿刪除該Project和Logstore。

      如果誤刪Logstore,對應日誌資料會丟失。這種情況下,您需要提交工單重設處理。已丟失的日誌資料無法恢複。

    當投遞任務開啟後,Security Center會自動將日誌投遞到對應日誌庫中。投遞的日誌會一直保留,直到超過您設定的儲存天數後,對應日誌資料被刪除。通過訂用帳戶模式購買後,如果日誌儲存空間耗盡,新日誌會停止投遞。在已使用的日誌容量超過總容量的80%時,Security Center支援發送通知資訊。通知設定的具體操作,請參見通知設定

    開通或關閉日誌管理服務

    開通日誌管理服務

    僅支援通過訂用帳戶或隨用隨付中的一種方式開通日誌管理服務。

    1. 登入Security Center控制台

    2. 在左側導覽列,選擇檢測響應 > 日誌管理。在控制台左上方,選擇需防護資產所在的地區:中國內地非中國內地

      如果您已按訂用帳戶模式購買CTDR日誌接入流量,或開通CTDR隨用隨付,則左側導覽列入口將變更為威脅分析與響應 > 日誌管理

    3. 日誌管理頁面,單擊訂用帳戶購買開通隨用隨付

      說明

      如果您已通過訂用帳戶方式購買威脅分析與響應日誌接入流量,或已開通威脅分析與響應隨用隨付時,您需要在當前頁面右上方,單擊開啟日誌管理隨用隨付,或通過升級購買威脅分析與響應日誌儲存容量。具體操作,請參見升級與降配

      • 開通訂用帳戶:在購買頁面,將威脅分析與響應的是否選購置為,選擇所需的日誌儲存容量,單擊立即下單並完成支付。

        您可以根據需要選購Security Center的其他功能,具體操作指導,請參見購買Security Center

      • 開通隨用隨付:在對話方塊中瞭解計費規則,選擇儲存地區,單擊立即開通並授權

    關閉日誌管理服務

    1. 登入Security Center控制台

    2. 在左側導覽列,選擇威脅分析與響應 > 日誌管理。在控制台左上方,選擇需防護資產所在的地區:中國內地非中國內地

    3. 日誌管理頁面,確保日誌使用量為0 GB。

      如果日誌使用量不為0,在當前頁面右上方單擊清空,等待日誌使用量清空後,再執行下一步。

    4. 您可以通過以下方式關閉日誌管理服務。

      • 訂用帳戶模式

        • 方法一:降配

          1. 概述頁,單擊變更配置 > 我要降配

          2. 訂單降配頁簽,將威脅分析與響應地區的日誌儲存容量設定為0 GB

            image

          3. 仔細閱讀並選中Security Center服務合約,然後單擊立即下單

        • 方法二:退訂已購買的Security Center執行個體

          有關退訂的具體操作,請提交工單諮詢。

      • 隨用隨付模式:在Security Center控制台的概述頁面的隨用隨付服務地區,關閉日誌管理開關。

        重要

        關閉日誌管理開關後,日誌投遞會自動關閉,對應的Logstore會被刪除,刪除的日誌資料不支援恢複。建議您謹慎操作。

    僅購買日誌接入流量或開通威脅分析與響應隨用隨付說明

    如果您已按訂用帳戶模式購買CTDR日誌接入流量或開通CTDR隨用隨付,且未購買日誌儲存容量時,在日誌管理頁面您可以查詢部分標準化日誌。支援查看的日誌是標準化方式掃描查詢的接入策略所設定的。

    這種情境下,不支援投遞和查看Security Center日誌,不支援投遞標準化方式即時消費的接入策略產生的標準化日誌。購買不同計費項目支援的功能詳情,請參見購買並開通威脅分析與響應

    image

    Security Center日誌

    開啟投遞

    購買日誌儲存容量後,CTDR預設會開啟所有Security Center日誌類型的投遞。如果您未購買Security Center對應的增值服務,例如應用防護、惡意檔案檢測等,對應類型的日誌投遞開關將保持關閉。

    您可以在日誌管理頁面,單擊日誌管理設定,查看並設定對應日誌類型的投遞狀態。image

    查詢日誌

    1. 在左側導覽列,選擇威脅分析與響應 > 日誌管理。在控制台左上方,選擇需防護資產所在的地區:中國內地非中國內地

    2. 日誌管理頁面左上方,單擊Security Center日誌,選中需要查看的日誌類型。

      image

    3. 設定查詢時間,通過查詢語句檢索日誌,並查看日誌分析資料。

      威脅分析與響應日誌管理的日誌查詢方法和Security Center日誌分析功能查詢方法相同,具體操作,請參見自訂日誌查詢與分析

    標準化日誌

    投遞說明

    標準化日誌是CTDR消費和分析接入的日誌後生產的具有標準化分類和結構的日誌。不支援對標準化日誌的投遞啟停進行管理,下述情況會開啟標準化日誌的投遞:

    • 當接入原則設定的標準化方式即時消費時,CTDR預設會將經過標準化處理的日誌按照標準化分類投遞到對應的Logstore中。建立接入策略的時候,會同時建立日誌投遞任務。

    • 建立自訂規則後,自訂規則產生的標準化警示日誌,例如端點檢測與響應警示日誌、防火牆警示日誌等。

    日誌管理頁面,單擊日誌管理設定,可在日誌管理設定面板的標準化日誌頁簽,查看標準化結構的被引用次數。被引用次數是接入策略為對應標準化分類和結構,且標準化方式即時消費的接入策略的數量。

    image

    查詢日誌

    CTDR支援以標準化日誌結構為單位搜尋日誌,通過資料集(StoreView)查詢多個Logstore中的資料,並進行結果返回。關於日誌庫(Logstore)查詢與分析的更多資訊,請參見常見的查詢/分析結果樣本

    日誌儲存管理

    修改日誌儲存時間

    開啟投遞的日誌預設儲存時間為180天,您可以根據需要修改日誌儲存時間。

    1. 在左側導覽列,選擇威脅分析與響應 > 日誌管理。在控制台左上方,選擇需防護資產所在的地區:中國內地非中國內地

    2. 日誌管理頁面右上方,單擊日誌管理設定

    3. 日誌管理設定面板,在Security Center日誌標準化日誌頁簽,單擊日誌儲存時間(TTL)操作列的image表徵圖,修改日誌的儲存時間。

    擴容或清空儲存容量

    您可以在威脅分析與響應 > 日誌管理頁面,查看當前的日誌使用量和總容量。您可以按需擴容或清空日誌儲存空間。

    • 單擊擴容,可購買更多日誌儲存容量。

      請確保日誌儲存空間充足。如果日誌儲存空間被佔滿,將無法寫入新的日誌。

    • 單擊清空,可清空所有儲存空間。清空日誌大約需要0~24小時,請您耐心等待。

      警告

      清空儲存空間後將無法複原日誌資料,請務必謹慎使用清空功能。建議您先將日誌匯出進行備份後,再清空儲存空間。

    常見問題

    為什麼我無法開通日誌管理隨用隨付?

    以下任一原因可導致您無法開通日誌管理隨用隨付。

    • 原因一:已通過訂用帳戶方式購買威脅分析與響應-日誌儲存容量或日誌分析。

      解決方案:

      1. 退訂通過訂用帳戶方式購買的威脅分析與響應-日誌儲存容量或日誌分析。

      2. 開通日誌管理隨用隨付

    • 原因二:您的威脅分析與響應為1.0架構。

      image

      解決方案:

      1. 將威脅分析與響應架構從1.0升級至2.0

      2. 開通日誌管理隨用隨付

      說明

      如果您決定暫時不升級到威脅分析與響應2.0架構,且需要使用日誌管理功能時,您可以通過訂用帳戶方式購買威脅分析與響應-日誌儲存容量。

    • 原因三:您在2024年04月26日(包含)前通過訂用帳戶方式購買威脅分析與響應日誌儲存容量,使用威脅分析與響應相關功能。

      該部分使用者在升級至威脅分析與響應2.0架構後,保有和原先購買量一致的威脅分析與響應日誌儲存容量(訂用帳戶模式),可正常使用日誌管理功能。如需將訂用帳戶模式轉化為隨用隨付,請參考原因一的解決方案。關於威脅分析與響應架構升級的更多資訊,請參見【通知】威脅分析與響應升級

    Security Center日誌分析和日誌管理功能有什麼區別?

    日誌分析和日誌管理功能都是Security Center提供的安全日誌查詢和分析能力。日誌管理和日誌分析相比,除了提供Security Center各模組(漏洞、安全警示、用戶端事件等)日誌的投遞和分析能力外,還支援投遞並儲存經過威脅分析與響應標準化處理的日誌。如果您有等保合規或其他安全日誌儲存和分析需求,建議您優先選擇日誌管理功能。

    下表介紹這兩個功能的具體差別:

    功能名稱

    支援的日誌類型

    計費方式

    儲存地區管理

    日誌儲存時間管理

    日誌管理(推薦)

    • Security Center日誌

    • 標準化日誌

    • 訂用帳戶

    • 隨用隨付

    預設為華東2(上海)。

    僅支援開通隨用隨付時在彈框中支援修改儲存地區。

    支援在日誌管理設定面板,設定日誌儲存時間。

    日誌分析

    Security Center日誌

    訂用帳戶

    預設為華東1(杭州),不支援修改。

    預設為180天,不支援修改。

    相關文檔

    • 您可以通過控制台、Cloud Shell或命令列工具將日誌或查詢分析結果下載到本地。具體操作,請參見匯出日誌

    • 您可以將日誌投遞到OSS進行儲存。具體操作,請參見建立OSS投遞任務(新版)

    • 如果日誌儲存空間被佔滿,將無法寫入新的日誌。您可以開啟威脅分析與響應日誌超量提醒通知,以便您及時擴容日誌儲存空間。具體操作,請參見通知設定