本文介绍日志审计服务的使用限制、费用说明等信息。

使用限制

  • 存储方式与地域限制
    • 中心化存储
      从各个阿里云账号、各个地域采集到的日志,会存储到中心账号下的一个中心Project中,目前中心化存储可供选择的地域如下所示。
      说明 当您切换中心账号所在地域时,日志服务为您创建一个新的中心Project,原Project不会被删除。
      • 中国:华北1(青岛)、华北2(北京)、华北5(呼和浩特)、华东1(杭州)、华东2(上海)、华南1(深圳)、中国(香港)
      • 海外:新加坡、日本(东京)、德国(法兰克福)、印度尼西亚(雅加达)
    • 区域化存储

      针对SLB、ALB、OSS、PolarDB-X 1.0访问日志和VPC流日志,日志审计服务支持将各个主账号采集到的日志存储到中心主账号下的各个与SLB、ALB、OSS、PolarDB-X 1.0和VPC实例处于相同地域的日志服务Project中(例如:杭州的OSS访问日志,存储到杭州的日志服务Project中)。

    • 同步到中心

      针对SLB、ALB、OSS、PolarDB-X 1.0和VPC的区域化存储,支持将各个地域的Logstore同步到一个中心化的Logstore中,以便做中心化查询、分析、告警、可视化、二次开发等。

      同步机制依赖日志服务数据加工。

  • 资源限制
    • 中心主账号下对应的中心化Project只有一个,名为slsaudit-center-中心化主账号ID-配置的地域,例如:slsaudit-center-1234567890-cn-beijing。无法通过控制台删除中心化Project,只能通过命令行、API删除。
    • 针对SLB、ALB、OSS、PolarDB-X 1.0和VPC,可以有多个区域化Project,名为slsaudit-region-中心化主账号ID-各个采集的地域,例如:slsaudit-region-1234567890-cn-beijing。无法通过控制台删除区域化Project,只能通过命令行、API删除。
    • 配置云产品日志采集后,日志审计服务会创建专属Logstore,具备日志服务Logstore所有的功能,除以下操作限制。
      • 保护数据不被篡改,您无法自行写入数据,修改或删除索引。
      • 只能通过日志审计服务的配置页面或接口修改存储周期、删除Logstore。
      • 针对SLB、ALB、OSS、PolarDB-X 1.0和VPC,如果开启了同步到中心功能,在对应的区域化Project中,会生成数据加工任务。
        • 数据加工任务名为Internal Job: SLS Audit Service Data Sync for OSS Access、Internal Job: SLS Audit Service Data Sync for SLB、Internal Job: SLS Audit Service Data Sync for ALB、Internal Job: SLS Audit Service Data Sync for DRDS、Internal Job: SLS Audit Service Data Sync for VPC。
        • 您只能通过日志审计服务的配置页面或接口关闭该数据加工任务。
        • 开启了同步到中心功能的区域化Logstore会同步为专属的Logstore,您无法进行任何操作,如果需要查询等操作时,可以直接在中心化Logstore中操作。
  • 存储天数联动说明
    • 日志审计服务中的RDS MySQL审计日志、慢日志和错误日志都存储在同一个Logstore(rds_log)中,如果同时开启采集且设置的存储天数不同,则日志存储天数为开通者的中心化存储天数的最大值。
    • 日志审计服务中的PolarDB MySQL审计日志、慢日志和错误日志都存储在同一个Logstore(polardb_log)中,如果同时开启采集且设置的存储天数不同,则日志存储天数为开通者的中心化存储天数的最大值。
    • 日志审计服务中的云防火墙的互联网边界防火墙流量日志、VPC边界防火墙流量日志都存储在同一个Logstore(cloudfirewall_log)中,如果同时开启采集且设置的存储天数不同,则日志存储天数为开通者的中心化存储天数的最大值。
    • 日志审计服务中的DDoS高防(新BGP)访问日志、DDoS高防(国际)访问日志、DDoS原生防护访问日志都存储在同一个Logstore(ddos_log)中,如果同时开启采集且设置的存储天数不同,则日志存储天数为开通者的中心化存储天数的最大值。
    • 日志审计服务中的K8s审计日志、K8s事件中心都存储在同一个Logstore(k8s_log)中,如果同时开启采集且存储天数不同,则日志存储天数为开通者的中心化存储天数的最大值。
    说明 针对上述存储天数存在联动的日志类型,如果同时开启日志采集及智能冷热分层存储功能,则热存储天数为开通者的热存储天数的最大值;如果同时开启了日志采集但没有同时开启智能冷热分层存储功能,则默认关闭智能冷热分层存储功能。

    例如您开启了RDS MySQL审计日志和错误日志的采集,如果同时开启了两者的冷热分层存储功能,则热存储天数为二者中的最大值;如果您只开启RDS MySQL审计日志的冷热分层存储功能,没有开启RDS MySQL错误日志的冷热分层存储功能,则默认关闭其所在Logstore(rds_log)的冷热分层存储功能。

  • 冷热分层存储
    日志审计服务的专属Logstore支持冷热分层存储功能。相对热存储而言,冷存储成本更低,其数据的查询与分析性能有所降低,其余功能(例如告警、可视化、加工、投递等)不受影响。更多信息,请参见智能冷热分层存储
    说明 目前已支持智能冷热分层存储的审计中心区域为华北1(青岛)、华北2(北京)、华北5(呼和浩特)、华东1(杭州)、华东2(上海)、华南1(深圳)。

    您可以在日志审计服务的全局配置页面开启冷热分层存储,其中热存储时间必须大于等于30天且不能超过当前存储天数。例如当前中心化存储时间为180天,开启30天热存储,则日志将在保存30天之后转为冷存储。

费用说明

  • 日志服务
    中心主账号需要开通日志服务与日志审计服务App,从其他主账号采集日志到中心主账号下。除特定云产品日志依赖外,其他主账号默认无需开通日志服务,也不会在其账号的日志服务下产生特定费用。目前日志审计服务免费,其涉及的数据存储、读写流量、数据加工等按量付费。更多信息,请参见计费项
    注意
    • SLB、ALB、OSS、PolarDB-X 1.0、容器服务Kubernetes版的日志,在开启同步到中心后,会使用数据加工功能进行同步,其涉及的加工与跨网流量费用等按量付费。更多信息,请参见计费项
    • 您可以通过日志审计服务或普通采集方式采集云产品日志,两种方式各自计算费用。如果使用了两种方式进行采集,日志服务将保存两份数据,但两者的应用场景不同。
      • 日志审计服务:支持多账户下实时自动化、中心化采集云产品日志。所采集到的日志主要用于合规审计。
      • 普通方式:分地域采集,分散化管理。所采集到的日志主要用于日志分析。更多信息,请参见云产品日志概述

    支持免费额度,支持用已购买的资源包抵扣相应的费用。

  • 云产品
    开通日志审计服务与对应云产品的日志采集后,在云产品侧可能会产生额外的费用,如下所示。
    云产品 额外费用
    Web应用防火墙(WAF) 在Web应用防火墙控制台上购买日志服务模块,费用详情请参见计费方式
    云安全中心(SAS) 在云安全中心控制台开通日志分析功能,费用详情请参见计费模式
    云防火墙(Cloud Firewall) 在云防火墙控制台上购买日志分析模块,费用详情请参见日志分析计费方式
    云数据库RDS 开启云数据库RDS审计日志采集功能后,会自动开启符合条件(支持MySQL的非基础版本,PostgreSQL、Microsoft SQL Server的所有版本)的RDS实例的SQL洞察(SQL审计)功能,费用详情请参见收费项、计费方式与价格
    说明
    • 如果您已为RDS实例开通SQL洞察试用版,则开启采集后,日志审计服务将自动关闭SQL洞察试用版,并开通SQL洞察正式版。
    • SQL洞察存储时长默认为30天。如果您要修改,需在RDS控制台上操作。具体操作,请参见修改SQL日志的存储时长。该存储时长与日志审计服务中的RDS审计日志的存储天数互相独立,互不影响。

      如果您在RDS控制台上设置的SQL洞察存储时长低于30天,则未满足日志投递条件,日志审计服务会自动将其重置为30天。

    • 如果您已停止采集RDS审计日志,且希望关闭SQL洞察功能,可在RDS控制台上进行手动关闭。具体操作,请参见关闭SQL洞察
    云数据库PolarDB 开启云数据库PolarDB的审计日志采集功能后,会自动开启MySQL集群的SQL洞察(SQL审计)功能,费用详情请参见计费项概览
    说明
    • 如果您已为PolarDB实例开通SQL洞察试用版,则开启采集后,日志审计服务将自动关闭SQL洞察试用版,并开通SQL洞察正式版。
    • SQL洞察存储时长默认为30天。如果您要修改,需在PolarDB控制台上操作。具体操作,请参见修改SQL日志的存储时长。该存储时长与日志审计服务中的PolarDB审计日志的存储天数互相独立,互不影响。

      如果您在PolarDB控制台上设置的SQL洞察存储时长低于30天,则未满足日志投递条件,日志审计服务会自动将其重置为30天。

    • 如果您已停止采集PolarDB审计日志,且希望关闭SQL洞察功能,可在PolarDB控制台上进行手动关闭。具体操作,请参见关闭SQL洞察
    DDoS防护 在DDoS高防(新BGP)控制台上购买全量日志分析模块,费用详情请参见概述
    VPC VPC会根据提取的日志收取网络日志提取费。更多信息,请参见流日志概述