全部產品
Search
文件中心

Security Center:開通日誌分析

更新時間:Jul 02, 2026

Security Center日誌分析功能通過集中儲存和管理所有安全相關的全量日誌,提供統一的查詢和分析入口,協助快速定位問題、滿足合規審計要求。

開通與配置日誌分析

重要
  • 日誌分析Agentic SOC(日誌管理)是Security Center中兩個獨立的功能模組,入口和購買配置互不關聯。

  • 如果通過版本升級獲得了日誌分析功能,升級完成後可能還需要單獨進入日誌分析頁面進行授權,才能正常使用該功能。

  1. 登入控制台

    訪問Security Center控制台-風險治理-日誌分析,在頁面左側頂部,選擇需防護資產所在的地區:中國內地非中國內地

  2. 服務授權 (首次使用)

    如果首次使用該功能,請根據頁面引導,單擊立即授權

    說明

    授權成功後,系統會自動建立RAM角色AliyunServiceRoleForSas,Security Center將通過該角色訪問您的其他雲產品資源,實現統一的安全防護與管理。更多資訊,請參見Security Center服務關聯角色

  3. 配置並完成購買

    授權成功後,單擊立即開通,頁面將跳轉至Security Center購買頁,參考如下說明完成購買配置:

    • 版本選擇:選擇所需的Security Center版本,版本說明請參見版本服務

    • 日誌分析:將是否選購置為,並根據業務需求設定每月需購買的儲存容量

    • 購買時間長度:選擇服務的購買時間長度。

  4. 閱讀並選中我已閱讀並同意Security Center產品協議,單擊立即下單並完成支付。

  5. 建立日誌庫

    開通服務後,Security Center將根據資產所在地區,在Log Service內自動建立Project(sas-log-{阿里雲帳號ID}-{地區ID})和Logstore(sas-log)。

    重要
    • 資產所在地區與日誌儲存地區的對應關係,請參見日誌儲存地區

    • 請勿刪除相關Project和Logstore,否則會導致資料流失且無法找回。

日誌容量分析與投遞管理

如果日誌投遞量過大導致儲存成本過高,可按日誌類型分析資料量佔比,並選擇性關閉高量日誌的投遞以降低成本。

  1. 登入Security Center控制台,在左側導覽列選擇風險治理 > 日誌分析

  2. 在日誌頁面右上方,單擊日誌管理設定

  3. 在日誌管理設定頁面,查看已投遞的日誌類型,包括登入流水、網路連接、進程啟動等主機日誌。

  4. 如需查看各日誌類型的資料量佔比,前往Log Service控制台,找到Security Center對應的Project(格式為sas-log-{阿里雲帳號ID}-{地區ID})和Logstore(sas-log),通過查詢__topic__欄位查看不同日誌類型的日誌量分布。

  5. 在日誌管理設定頁面,關閉資料量較大的日誌類型投遞。關閉後,該類型日誌將停止採集和儲存,儲存容量消耗隨之降低。

計費說明

日誌分析是一項增值功能,其費用獨立於Security Center的基礎版本費用。

  • 計費模式:僅支援訂用帳戶模式。

  • 計費項目:僅對購買的日誌儲存容量收費,採用訂用帳戶模式。

    說明

    若當月日誌儲存容量沒有使用,下月將自動清零。

  • 計費標準0.1美元/GB/月

  • 容量選擇建議: 根據《網路安全法》要求,日誌建議至少儲存180天。推薦為每台伺服器配置50 GB的日誌儲存容量。可根據業務實際日誌量,在購買時調整儲存容量。

  • 成本預估樣本: 假設為10台伺服器開通日誌分析,每台伺服器推薦配置50 GB儲存容量,則總容量為500 GB。在中國內地地區,每月的日誌儲存費用為:。

配額與限制

  • 日誌儲存地區限制

    日誌資料的儲存地區由資產所在的地區決定,當前不支援自訂。

    資產所在地區

    日誌Project所在地區

    地區ID

    說明

    中國內地

    華東1(杭州)

    cn-hangzhou

    所有位於中國內地地區的資產日誌,將統一儲存在杭州地區的Project中。

    非中國內地

    新加坡

    ap-southeast-1

    所有位於非中國內地(含中國香港)地區的資產日誌,將統一儲存在新加坡地區的Project中。

  • 日誌庫限制

    為保證日誌資料的完整性和格式統一,日誌分析專屬Logstore(名稱為sas-log),存在以下限制:

    • 不支援通過API或SDK等方式向其中寫入資料。

    • 不支援修改日誌庫的屬性,例如儲存周期。

    • 專屬 Logstore(sas-log)由系統在開通日誌分析時自動建立,僅供當前阿里雲帳號獨享使用,非多租戶共用執行個體,確保資料隔離與安全。

常見問題

  • 購買的儲存容量用滿了怎麼辦?

    • 影響:儲存容量佔滿後,新的日誌將無法寫入。

    • 解決方案:可在Security Center控制台-總覽頁面的訂用帳戶服務地區,單擊變更配置 > 立即升級,具體說明,請參見升級與降配

  • 已在使用Log Service(SLS),還有必要開通Security Center的日誌分析嗎?

    有必要。兩者功能對比如下:

    • 自建SLS:採集的通常是伺服器的作業系統或應用日誌。

    • 日誌分析:除採集基礎主機日誌外,還會集中儲存並分析Security Center本身產生的各類安全警示、漏洞、基準檢查等安全事件記錄,提供一個全面的安全審計與回溯平台。

  • 誤刪Log Service中Security Center專屬sas-log日誌庫怎麼辦?

    所有儲存在其中的日誌資料都將永久丟失且無法恢複,日誌分析功能會立即中斷。需返回Security Center的日誌分析頁面,根據提示重新開通。系統會再次建立新的Project和Logstore,但歷史資料無法找回。

  • 為什麼已購買日誌分析服務,但控制台仍顯示未開通或無法使用?

    請按以下步驟排查:

    1. 購買的是日誌分析增值服務,而非 Agentic SOC 等其他安全模組。不同模組的入口和功能相互獨立。

    2. 確認進入的是正確的菜單路徑:風險治理 > 日誌分析

    3. 嘗試使用瀏覽器無痕模式登入控制台,排除瀏覽器緩衝問題。

    4. 檢查 RAM 許可權,確保當前帳號擁有 AliyunSASFullAccess 權限原則。

    5. 確認是否已完成首次使用的服務授權(系統需建立 RAM 角色 AliyunServiceRoleForSas)。如尚未授權,請在日誌分析頁面根據提示完成操作。

  • 為什麼開通日誌分析後查詢不到歷史日誌?

    日誌分析功能僅在啟用後開始採集和儲存日誌。如果在購買服務後未及時啟用功能(如未開啟功能開關或未完成Log Service SLS 授權配置),則啟用前的時間段內不會產生日誌資料,因此無法查詢到該段時間的歷史日誌。建議在購買後儘早完成啟用和配置,確保日誌採集的連續性。