日志審計服務概述
本文介紹日志審計服務的功能特性、背景信息、應用場景、技術(shù)優(yōu)勢及覆蓋的云產(chǎn)品。
產(chǎn)品試用
SLS Playground中的日志審計服務Demo,內(nèi)置了演示數(shù)據(jù)、可視化圖表等資源,提供了完整的演示環(huán)境,便于您快速了解及體驗功能。
您可以單擊日志審計服務,進行試用。
SLS Playground中的數(shù)據(jù)為演示數(shù)據(jù),請勿用于生產(chǎn)環(huán)境。
功能特性
日志審計服務在繼承現(xiàn)有日志服務所有功能外,還支持多賬戶下實時自動化、中心化采集云產(chǎn)品日志并進行審計,以及支持審計所需的存儲、查詢及信息匯總。日志審計服務覆蓋基礎(ActionTrail、容器服務Kubernetes版)、存儲(OSS、NAS)、網(wǎng)絡(SLB、ALB、API網(wǎng)關(guān)、VPC)、數(shù)據(jù)庫(關(guān)系型數(shù)據(jù)庫RDS、云原生分布式數(shù)據(jù)庫PolarDB-X 1.0、云原生數(shù)據(jù)庫PolarDB)、安全(WAF、DDoS防護、云防火墻、云安全中心)等產(chǎn)品,并支持自由對接其他生態(tài)產(chǎn)品或自有SOC中心。
背景信息
日志審計是法律剛性需求。
無論中國境內(nèi)還是海外,企業(yè)落實日志審計越來越迫切。尤其中國內(nèi)地于2017年實施了《網(wǎng)絡安全法》、于2019年12月實施《網(wǎng)絡安全等保2.0標準》。
日志審計是客戶安全合規(guī)依賴的基礎。
很多企業(yè)自身有成熟的法規(guī)條例以及合規(guī)審計團隊,對賬號設備的操作、網(wǎng)絡行為、日志進行審計。客戶可以直接消費原生各類日志,也可以使用日志審計服務提供的審計功能,構(gòu)建并輸出合規(guī)的審計信息。如果客戶有安全中心(SOC),則可以直接消費日志審計中的日志,也可以使用阿里云安全中心消費日志。
日志審計是安全防護的重要一環(huán)。
根據(jù)FireEye M-Trends 2018報告,企業(yè)安全防護管理能力薄弱,尤其是亞太地區(qū)。全球范圍內(nèi)企業(yè)組織的攻擊從發(fā)生到發(fā)現(xiàn)所需時長平均101天,而亞太地域平均需要498天。企業(yè)需要長期、可靠、無篡改的日志記錄與審計支持來持續(xù)縮短這個時間。
應用場景
日志服務與審計場景
日志服務提供一站式數(shù)據(jù)采集、清洗、分析、可視化和告警功能。支持日志服務相關(guān)場景:DevOps、運營、安全、審計。
典型日志審計場景
日志審計一般分成如下四層需求。
基礎需求:大部分中小企業(yè)客戶需要自動化采集存儲日志。他們的主要訴求是滿足《網(wǎng)絡安全等保2.0標準》中的最低要求,并脫離手工維護。
高級需求:跨國企業(yè)、大企業(yè)以及部分中型企業(yè),存在多個部門之間獨立結(jié)算并且在阿里云賬號的使用上各自隔離,但是在審計的時候,需要自動化、統(tǒng)一采集相關(guān)日志。他們的主要訴求是除上述的基礎訴求外,還希望中心化采集日志并支持多個賬號的簡單管理。這部分企業(yè)一般擁有審計系統(tǒng),因此對日志審計的需求是能夠?qū)崟r、簡單的對接。
更上層的需求:擁有專門合規(guī)團隊的大公司,他們需要對日志進行監(jiān)控、告警和分析。一部分客戶將數(shù)據(jù)采集到審計系統(tǒng)中進行操作。另一部分客戶(尤其是計劃在云上搭建一套新審計系統(tǒng)的客戶)可以使用日志服務提供的審計支持(查詢、分析、告警、可視化等)進行審計操作。
最頂端需求:擁有專業(yè)成熟審計合規(guī)團隊的大企業(yè),一般擁有自己的安全中心或?qū)徲嬒到y(tǒng),他們的核心需求是對接數(shù)據(jù)進行統(tǒng)一操作。
針對以上4類客戶需求,日志服務的日志審計服務都可以比較好的滿足。
技術(shù)優(yōu)勢
中心化采集
跨賬號:支持將多個阿里云賬號下的日志采集到一個阿里云賬號下的Project中。您可以通過自定義鑒權(quán)管理模式或資源目錄管理模式(推薦)配置多賬號采集。更多信息,請參見采集多賬號云產(chǎn)品日志。
一鍵式采集:一次性配置采集策略后,即可完成跨賬號自動實時發(fā)現(xiàn)新資源(例如新創(chuàng)建的RDS、SLB、OSS Bucket實例等)并實時采集日志。
中心化存儲:將采集到的日志存儲到某個地域的中心化Project中,方便后續(xù)查詢分析、可視化與告警、二次開發(fā)等。
支持豐富的審計功能
繼承日志服務現(xiàn)有的所有功能,包括查詢分析、加工、報表、告警、導出等功能,支持審計場景下中心化的審計等需求。
生態(tài)開放對接:與開源軟件、阿里云大數(shù)據(jù)產(chǎn)品、第三方SOC軟件無縫對接,充分發(fā)揮數(shù)據(jù)價值。
云產(chǎn)品覆蓋及相關(guān)資源
日志審計服務支持采集基礎(ActionTrail、容器服務Kubernetes版)、存儲(OSS、NAS)、網(wǎng)絡(SLB、ALB、API網(wǎng)關(guān)、VPC)、數(shù)據(jù)庫(關(guān)系型數(shù)據(jù)庫RDS、云原生分布式數(shù)據(jù)庫PolarDB-X 1.0、PolarDB云原生數(shù)據(jù)庫)、安全(WAF、云防火墻、云安全中心、DDoS防護)等云產(chǎn)品日志。采集完成后,會自動存儲到對應Logstore或Metricstore中,并生成對應的儀表盤。詳細信息如下:
云產(chǎn)品 | 審計相關(guān)日志 | 采集地域 | 使用前提 | 日志服務資源 |
操作審計 |
| 華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南2(河源)、華南3(廣州)、中國(香港)、新加坡、馬來西亞(吉隆坡)、印度尼西亞(雅加達)、日本(東京)、美國(硅谷)、美國(弗吉尼亞)、德國(法蘭克福)、英國(倫敦)、阿聯(lián)酋(迪拜) | 無 |
|
配置審計 |
| 配置審計支持的全部地域 | 如果您需要在日志審計中采集、存儲或查詢配置審計日志,需要同意授權(quán)日志服務提取您在配置審計中記錄的日志。授權(quán)后,您的配置審計日志將被自動推送到日志服務中。 |
|
負載均衡 | HTTP或HTTPS偵聽實例的7層網(wǎng)絡日志 | 華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南2(河源)、華南3(廣州)、西南1(成都)、中國(香港)、新加坡、日本(東京)、馬來西亞(吉隆坡)、印度尼西亞(雅加達)、菲律賓(馬尼拉)、英國(倫敦)、阿聯(lián)酋(迪拜)、美國(硅谷)、美國(弗吉尼亞)、德國(法蘭克福) | 無 |
|
應用型負載均衡 | HTTP或HTTPS偵聽實例的7層網(wǎng)絡日志 | 華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華北3(張家口)、華北6(烏蘭察布)、華南1(深圳)、華南3(廣州)、西南1(成都)、中國(香港)、日本(東京)、新加坡、馬來西亞(吉隆坡)、印度尼西亞(雅加達)、德國(法蘭克福)、美國(硅谷)、美國(弗吉尼亞) | 無 |
|
API網(wǎng)關(guān) | 訪問日志 | 所有在售地域 | 無 |
|
VPC | 流日志 | 華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南2(河源)、華南3(廣州)、西南1(成都)、中國(香港)、新加坡、馬來西亞(吉隆坡)、印度尼西亞(雅加達)、日本(東京)、美國(硅谷)、美國(弗吉尼亞)、阿聯(lián)酋(迪拜)、德國(法蘭克福)、英國(倫敦) |
ecs.c1、ecs.c2、ecs.c4、ecs.ce4、ecs.cm4、ecs.d1、ecs.e3、ecs.e4、ecs.ga1、ecs.gn4、ecs.gn5、ecs.i1、ecs.m1、ecs.m2、ecs.mn4、ecs.n1、ecs.n2、ecs.n4、ecs.s1、ecs.s2、ecs.s3、ecs.se1、ecs.sn1、ecs.sn2、ecs.t1、ecs.xn4 |
|
DNS | 內(nèi)網(wǎng)DNS日志 | 華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華北3(張家口)、華南1(深圳)、華南3(廣州)、中國(香港)、新加坡 | 前往新版DNS控制臺,開通云解析PrivateZone服務。 |
|
公網(wǎng)DNS日志 | 不涉及 |
|
| |
全局流量管理日志 | 不涉及 |
| ||
Web應用防火墻 |
| 所有在售地域 |
|
|
云安全中心 |
| 華東1(杭州)、新加坡 |
|
|
云防火墻 | 互聯(lián)網(wǎng)邊界防火墻流量日志、VPC邊界防火墻流量日志 | 不涉及 |
|
|
堡壘機 | 操作命令日志 | 所有在售地域 | V3.2版本及以上 |
|
對象存儲 |
| 華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南2(河源)、華南3(廣州)、西南1(成都)、中國(香港)、新加坡、馬來西亞(吉隆坡)、印度尼西亞(雅加達)、菲律賓(馬尼拉)、日本(東京)、韓國(首爾)、泰國(曼谷)、德國(法蘭克福)、阿聯(lián)酋(迪拜)、英國(倫敦)、美國(弗吉尼亞)、美國(硅谷) | 無 |
|
云數(shù)據(jù)庫RDS |
|
|
|
|
云數(shù)據(jù)庫PolarDB |
| 所有在售地域 |
|
|
PolarDB-X 1.0 | PolarDB-X 1.0審計日志 | 華北1(青島)、華南1(深圳)、華東2(上海)、華北2(北京)、華東1(杭州)、華北3(張家口)、西南1(成都)、中國(香港) | 無 |
|
IDaaS |
| 華東1(杭州) | 無 |
|
特權(quán)訪問管理中心PAM |
| 所有在售地域 | 已購買堡壘機(開發(fā)者版、輕量版)實例。更多信息,請參見購買實例。 |
|
文件存儲 | 訪問日志 | 所有在售地域 | 無 |
|
移動推送 | 推送回調(diào)事件 | 中國內(nèi)地 | 無 |
|
容器服務Kubernetes版 |
| 華東2(上海)、華北2(北京)、華東1(杭州)、華南1(深圳)、華北5(呼和浩特)、華北3(張家口)、西南1(成都)、中國(香港) | 針對Kubernetes的采集,需要您先手動開通對應的日志采集功能。 說明
|
|
DDoS防護 |
| 不涉及 |
|
|
應用集成 | 操作日志 | 不涉及 | 無 |
|
采集RDS或PolarDB實例重啟后5分鐘內(nèi)產(chǎn)生的日志時,可能存在缺失。
金融云場景
在金融云場景中,日志審計服務在云產(chǎn)品覆蓋和地域限制方面與公有云有所不同。
云產(chǎn)品覆蓋
日志審計服務支持采集ActionTrail、SLB、API網(wǎng)關(guān)、RDS、堡壘機、DDoS防護和云防火墻的日志。
云產(chǎn)品
審計相關(guān)日志
采集地域
使用前提
日志服務資源
操作審計
RAM登錄日志
阿里云產(chǎn)品的資源操作日志
通過OpenAPI的操作行為日志
華東2(上海)金融云
無
Logstore
actiontrail_log
儀表盤
ActionTrail審計中心
ActionTrail核心配置中心
ActionTrail登錄中心
負載均衡
HTTP或HTTPS偵聽實例的7層網(wǎng)絡日志
華東1(杭州)金融云、華東2(上海)金融云、華南1(深圳)金融云
無
Logstore
slb_log
儀表盤
SLB審計中心
SLB訪問中心
SLB全局數(shù)據(jù)
API網(wǎng)關(guān)
訪問日志
華東1(杭州)金融云、華東2(上海)金融云、華南1(深圳)金融云
無
Logstore
apigateway_log
儀表盤
API網(wǎng)關(guān)審計中心
云防火墻
互聯(lián)網(wǎng)流量日志、邊界防火墻流量日志
不涉及
高級版本及以上
需在云防火墻控制臺中購買日志分析模塊。更多信息,請參見開通日志分析功能。
Logstore
cloudfirewall_log
儀表盤
云防火墻審計中心
關(guān)系數(shù)據(jù)庫RDS
RDS審計日志
MySQL慢日志
華東1(杭州)金融云、華東2(上海)金融云、華南1(深圳)金融云
審計日志
MySQL:不支持基礎版
PostgreSQL、Microsoft SQL Server:無限制
均需開啟SQL洞察或?qū)徲嫻δ堋?/p>
由日志審計服務自動開啟。
慢日志
只支持非基礎版的MySQL實例。
審計日志
Logstore
rds_log
儀表盤
RDS審計中心
RDS審計安全中心
RDS審計性能中心
RDS全局數(shù)據(jù)
慢日志
Logstore
rds_log
儀表盤
無
堡壘機
操作命令日志
華東1(杭州)金融云、華東2(上海)金融云、華東3(深圳)金融云
V3.2版本及以上
Logstore
bastion_log
儀表盤
無
DDoS防護
DDoS高防(新BGP)訪問日志
不涉及
已在DDoS高防(新BGP)控制臺上購買全量日志分析模塊。更多信息,請參見開通全量日志分析功能。
Logstore
ddos_log
儀表盤
DDoS高防(新BGP)訪問中心
DDoS高防(新BGP)運營中心
DNS
內(nèi)網(wǎng)DNS日志
華南1(深圳)金融云
前往新版DNS控制臺,開通云解析PrivateZone服務。
Logstore
dns_log
儀表盤
無
地域限制
采用中心化存儲時,日志審計服務從各個阿里云賬號的各個地域采集到的日志,會存儲到中心阿里云賬號下的一個中心化Project中,目前中心化存儲可供選擇的地域包括華東1(杭州)金融云、華東2(上海)金融云和華南1(深圳)金融云。更多信息,請參見使用限制。