Security Center日誌分析功能通過集中儲存和管理所有安全相關的全量日誌,提供統一的查詢和分析入口,協助快速定位問題、滿足合規審計要求。
開通與配置日誌分析
-
日誌分析與 Agentic SOC(日誌管理)是Security Center中兩個獨立的功能模組,入口和購買配置互不關聯。
-
如果通過版本升級獲得了日誌分析功能,升級完成後可能還需要單獨進入日誌分析頁面進行授權,才能正常使用該功能。
-
登入控制台
訪問Security Center控制台-風險治理-日誌分析,在頁面左側頂部,選擇需防護資產所在的地區:中國內地或非中國內地。
-
服務授權 (首次使用)
如果首次使用該功能,請根據頁面引導,單擊立即授權。
說明授權成功後,系統會自動建立RAM角色
AliyunServiceRoleForSas,Security Center將通過該角色訪問您的其他雲產品資源,實現統一的安全防護與管理。更多資訊,請參見Security Center服務關聯角色。 -
配置並完成購買
授權成功後,單擊立即開通,頁面將跳轉至Security Center購買頁,參考如下說明完成購買配置:
-
版本選擇:選擇所需的Security Center版本,版本說明請參見版本服務。
-
日誌分析:將是否選購置為是,並根據業務需求設定每月需購買的儲存容量。
-
購買時間長度:選擇服務的購買時間長度。
-
-
閱讀並選中我已閱讀並同意Security Center產品協議,單擊立即下單並完成支付。
-
建立日誌庫
開通服務後,Security Center將根據資產所在地區,在Log Service內自動建立Project(
sas-log-{阿里雲帳號ID}-{地區ID})和Logstore(sas-log)。重要-
資產所在地區與日誌儲存地區的對應關係,請參見日誌儲存地區。
-
請勿刪除相關Project和Logstore,否則會導致資料流失且無法找回。
-
日誌容量分析與投遞管理
如果日誌投遞量過大導致儲存成本過高,可按日誌類型分析資料量佔比,並選擇性關閉高量日誌的投遞以降低成本。
-
在日誌頁面右上方,單擊日誌管理設定。
-
在日誌管理設定頁面,查看已投遞的日誌類型,包括登入流水、網路連接、進程啟動等主機日誌。
-
如需查看各日誌類型的資料量佔比,前往Log Service控制台,找到Security Center對應的Project(格式為
sas-log-{阿里雲帳號ID}-{地區ID})和Logstore(sas-log),通過查詢__topic__欄位查看不同日誌類型的日誌量分布。 -
在日誌管理設定頁面,關閉資料量較大的日誌類型投遞。關閉後,該類型日誌將停止採集和儲存,儲存容量消耗隨之降低。
計費說明
日誌分析是一項增值功能,其費用獨立於Security Center的基礎版本費用。
-
計費模式:僅支援訂用帳戶模式。
-
計費項目:僅對購買的日誌儲存容量收費,採用訂用帳戶模式。
說明若當月日誌儲存容量沒有使用,下月將自動清零。
-
計費標準:0.1美元/GB/月。
-
容量選擇建議: 根據《網路安全法》要求,日誌建議至少儲存180天。推薦為每台伺服器配置50 GB的日誌儲存容量。可根據業務實際日誌量,在購買時調整儲存容量。
-
成本預估樣本: 假設為10台伺服器開通日誌分析,每台伺服器推薦配置50 GB儲存容量,則總容量為500 GB。在中國內地地區,每月的日誌儲存費用為:。
配額與限制
-
日誌儲存地區限制
日誌資料的儲存地區由資產所在的地區決定,當前不支援自訂。
資產所在地區
日誌Project所在地區
地區ID
說明
中國內地
華東1(杭州)
cn-hangzhou所有位於中國內地地區的資產日誌,將統一儲存在杭州地區的Project中。
非中國內地
新加坡
ap-southeast-1所有位於非中國內地(含中國香港)地區的資產日誌,將統一儲存在新加坡地區的Project中。
-
日誌庫限制
為保證日誌資料的完整性和格式統一,日誌分析專屬Logstore(名稱為sas-log),存在以下限制:
-
不支援通過API或SDK等方式向其中寫入資料。
-
不支援修改日誌庫的屬性,例如儲存周期。
-
專屬 Logstore(sas-log)由系統在開通日誌分析時自動建立,僅供當前阿里雲帳號獨享使用,非多租戶共用執行個體,確保資料隔離與安全。
-
常見問題
-
購買的儲存容量用滿了怎麼辦?
-
影響:儲存容量佔滿後,新的日誌將無法寫入。
-
解決方案:可在Security Center控制台-總覽頁面的訂用帳戶服務地區,單擊,具體說明,請參見升級與降配。
-
-
已在使用Log Service(SLS),還有必要開通Security Center的日誌分析嗎?
有必要。兩者功能對比如下:
-
自建SLS:採集的通常是伺服器的作業系統或應用日誌。
-
日誌分析:除採集基礎主機日誌外,還會集中儲存並分析Security Center本身產生的各類安全警示、漏洞、基準檢查等安全事件記錄,提供一個全面的安全審計與回溯平台。
-
-
誤刪Log Service中Security Center專屬
sas-log日誌庫怎麼辦?所有儲存在其中的日誌資料都將永久丟失且無法恢複,日誌分析功能會立即中斷。需返回Security Center的日誌分析頁面,根據提示重新開通。系統會再次建立新的Project和Logstore,但歷史資料無法找回。
-
為什麼已購買日誌分析服務,但控制台仍顯示未開通或無法使用?
請按以下步驟排查:
-
購買的是日誌分析增值服務,而非 Agentic SOC 等其他安全模組。不同模組的入口和功能相互獨立。
-
嘗試使用瀏覽器無痕模式登入控制台,排除瀏覽器緩衝問題。
-
檢查 RAM 許可權,確保當前帳號擁有
AliyunSASFullAccess權限原則。 -
確認是否已完成首次使用的服務授權(系統需建立 RAM 角色
AliyunServiceRoleForSas)。如尚未授權,請在日誌分析頁面根據提示完成操作。
-
-
為什麼開通日誌分析後查詢不到歷史日誌?
日誌分析功能僅在啟用後開始採集和儲存日誌。如果在購買服務後未及時啟用功能(如未開啟功能開關或未完成Log Service SLS 授權配置),則啟用前的時間段內不會產生日誌資料,因此無法查詢到該段時間的歷史日誌。建議在購買後儘早完成啟用和配置,確保日誌採集的連續性。