本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。
開通日志分析服務后,如果云防火墻日志分析的默認配置(包括采集的日志類型、存儲地域、存儲時長)不滿足您的業務需求,您可以根據業務需要調整日志存儲配置,包括修改采集的日志類型、日志的投遞地域以及日志存儲時長,確保日志管理方案與您的業務戰略保持一致。
前提條件
已開通云防火墻日志分析服務。具體操作,請參見日志分析概述。
設置日志采集類型
日志分析提供了實時采集資產流量日志的功能,支持對搜集的數據進行即時檢索和分析,并通過直觀的儀表盤展示結果,便于您對資產的訪問模式和潛在攻擊行為進行快速分析,為制定有效的防護措施提供了關鍵支持。
采集的日志類型
云防火墻支持采集的流量日志包括:
互聯網流量日志
攻擊事件日志:命中互聯網邊界防火墻入侵防御規則的流量日志。
訪問控制日志:命中互聯網邊界防火墻訪問控制策略的流量日志。
其他流量日志:其他經過互聯網邊界防火墻的流量日志。
VPC流量日志
攻擊事件日志:命中VPC邊界防火墻入侵防御規則的流量日志。
訪問控制日志:命中VPC邊界防火墻訪問控制策略的流量日志。
其他流量日志:其他經過VPC邊界防火墻的流量日志。
DNS流量日志:所有經過DNS邊界防火墻的流量日志。
IPv6流量日志:命中互聯網邊界防火墻IPv6訪問控制策略的流量日志。
NAT流量日志:所有經過NAT邊界防火墻的流量日志。
云防火墻默認開啟所有日志類型的投遞開關,您可以按需修改投遞開關狀態。
關閉投遞功能,不會自動刪除Project及已投遞的日志,但云防火墻不再采集對應類型的日志。
修改日志投遞開關
登錄云防火墻控制臺。
在左側導航欄,選擇
在頁面右上方,單擊投遞開關,修改日志類型的投遞開關。
修改日志存儲地域
日志分析采集的日志默認存儲在華東1(杭州)地域,對于業務部署不在該地域可能帶來的問題(跨地域日志同步費用、數據無法對接等),可以采用將日志存儲地域修改為業務所在或距離較近地域的方式來解決。
切換日志分析的投遞地域之前,請知悉:
包年包月切換后原日志將丟失,請在切換前提前備份日志。按量付費版切換后原日志庫不會刪除,請按需保留或刪除原日志庫。
切換過程預計需要5~10分鐘完成,在此期間請勿執行與日志相關的其他操作。
切換期間的日志將不會投遞和存儲,建議在業務低峰期進行切換。
如果出現切換超時,請隔5~10分鐘后刷新檢查是否完成。如仍有問題,請提工單咨詢。
登錄云防火墻控制臺。
在左側導航欄,選擇。
在頁面右上方,單擊日志投遞區域,修改日志的投遞地域。
修改日志存儲時長
日志默認存儲時長為180天,超過存儲時長的日志將被自動刪除且不可恢復。您可以根據日志存儲容量和實際需要修改日志存儲時長,日志存儲時長支持設置為7~730天。如果您開通的是按量版云防火墻,且有更高的存儲需求,可以通過日志服務修改存儲時長。
日志存儲空間滿,將不會再采集新的日志,請合理設置日志存儲時長,并定期關注日志存儲空間的使用情況。
日志存儲時長修改生效后,云防火墻日志分析服務將只存儲指定時長范圍內的日志,并自動刪除超出存儲時長的日志。自動刪除需要1~2小時生效。
例如,您將日志存儲時間由原來的180天修改為30天,保存生效后,超過30天的日志將被自動刪除。
登錄云防火墻控制臺。
在左側導航欄,選擇。
在頁面右上方,單擊日志存儲時長,修改日志的存儲時間后,單擊保存。
管理日志存儲空間
按量版無日志存儲空間限制。
為避免因日志存儲空間占滿,新的日志數據無法寫入專屬日志庫而造成日志數據不完整的情況,建議您定期關注日志存儲空間的使用情況。
登錄云防火墻控制臺。
在左側導航欄,選擇。
在日志查詢頁面右上方,查看日志使用情況。
該頁面顯示的日志存儲空間用量并非實時更新,與實際使用情況存在兩個小時的延遲。因此,當日志存儲空間即將滿時,請提前升級容量或清除日志。
(可選)如果日志空間使用率即將滿,您可以升級日志存儲容量或清空存量日志。
警告日志清空后將無法復原,請謹慎使用清空功能。
升級存儲容量:在日志查詢頁面右上方,單擊升級容量,選擇更大的日志存儲容量規格,并完成擴容費用支付。
說明日志分析存儲容量的擴展費用:500元/1,000 GB/月。購買的月份與云防火墻實例的服務時長一致,暫不支持修改。
清空存量日志:在日志查詢頁面右上方,單擊清空,然后在彈出的提示框中單擊確定。清空日志約需要1~2小時。
說明開通云防火墻日志服務后,您會獲取4次清空日志存儲空間的機會。每次續費云防火墻服務時,清空日志存儲空間的機會將重新刷新,即重新獲得4次機會。