阿里云日志服务作为行业领先的日志大数据解决方案,一站式提供数据收集、清洗、分析、可视化和告警功能。目前发布日志审计服务功能,提供多账户下跨多云产品审计相关日志进行实时自动化中心化采集,并提供审计需要的存储、查询、信息汇总支持。覆盖Actiontrail、OSS、SLB、RDS、API网关等基础产品并支持自由对接到其他生态产品或自有SOC中心。
背景
日志审计是法律刚性需求
无论海内外,尤其国内自从2017年《网络安全法》还是今年《等保2.0》的即将与12月实施,企业落实日志审计变得越迫切.
日志审计是客户安全合规依赖基础
很多企业自身有很成熟的法规条例以及合规审计团队,针对账号设备操作,网络行为进行审计,也需要对日志审计。一方面客户有成熟的内部合规团队,可以直接消费原生各类日志;客户也可以直接使用日志审计服务提供的审计支持,直接构建并输出合规审计信息;如果客户有安全中心(SOC)可以直接消费日志审计中日志,也可以直接使用阿里云安全中心。
日志审计是安全防护的重要一环
根据FileEye M-Trends 2018报告,企业安全防护管理能力薄弱,亚太地区尤甚间,企业组织的攻击从发生到发现所需时长平均101天,而亚太平均需要498天;其中发现后的验证平均需要58天。很显然,需要长期、可靠、无篡改的日志记录与审计支持下,来持续缩短这个时间。
日志服务与日志审计服务App
日志服务与审计场景
SLS作为行业领先的日志大数据解决方案,一站式提供数据收集、清洗、分析、可视化和告警功能。一直很好的支持日志服务场景相关场景:DevOps、运营、安全、审计.
典型日志审计场景
根据我们支持客户的反馈来看,日志审计可以分成如下4层需求,越往上越高级。
说明
- 基础需求是大部分中小企业客户需要的自动化采集存储日志的功能,他们主要的诉求是满足等保2.0最低的需求,并脱离手工去维护。
- 高级需求的是跨国公司、大公司以及部分中型客户,他们往往多个部门之间独立结算,并且在使用阿里云的账号上各自隔离。但是在审计的时候,却需要自动化的统一采集相关日志,他们的主要诉求除了上述外,额外需要能够中心化的采集日志、并支持多个账号的简单管理。这部分公司往往有自己的审计系统,因此对日志审计的需求是能够实时、简单的对接。
- 再高一级的需求是有专门合规团队的大公司,他们需要针对日志进行监控、告警和分析的需求,一部分客户可以直接采集同步数据到期专门的审计系统中去操作. 一部分尤其是计划在云上搭建一套新的审计系统的客户, 可以直接使用日志服务提供的审计支持(查询, 分析, 告警, 可视化等)进行审计操作.
- 最顶上的客户往往是拥有专业成熟审计合规团队的大公司, 一般其都拥有自己的一套SOC或审计系统, 核心需求是对接数据进行统一操作.
针对以上4类客户, 日志服务的日志审计服务都可以比较好的满足.
日志审计服务App
日志审计服务以日志服务的App形式存在,目前App免费,数据存储、读写流量等按标准按量收费。
提供多账户下跨多云产品审计相关日志进行实时自动化中心化采集,并提供审计需要的存储、查询、信息汇总支持。覆盖Actiontrail、OSS、SLB、RDS、API网关等基础产品并支持自由对接到其他生态产品或自有SOC中心。
产品技术功能与优势
优势
- 完整数据采集:产品覆盖所有审计相关日志自动化采集(可接入20+产品)
- 配置简单与自动化:跨多主账号、自动实时发现新资源并实时采集。一键式配置(一期支持6个)。
- 丰富建模与分析功能:借助SLS查询分析、加工、报表、告警、导出等功能,完整支持审计场景下分析告警对接需求
- 低成本存储:利用对象存储、冷备等介质保证低成本
- 丰富生态:与开源、阿里云大数据、第三方SOC软件无缝对接,充分发挥数据价值
功能
区域与产品覆盖
发布区域
登录入口:
- 中国站(目前邀测阶段,申请入口,需登录
- 国际站(即将发布)
数据区域:
- 数据采集区域目前支持公共云所有区域
- 同步到中心化目标区域,目前支持北京、上海、杭州、深圳等区域以及新加坡
覆盖产品
支持接入支持如下产品(一键式接入的为蓝色): 
快速开始
1. 开通
首先开通日志服务的日志审计功能.
2. 首次配置
进入App后的首次配置页面, 选择中心化存储的区域, App会在保存后自动构建一个固定模式名字的项目. 选择开启相关的产品, 并参考页面提示授权, 之后保存. 
3. 多账户配置
在多账户配置的全局配种, 配置其他多个主账号, 将其日志也统一收集到当前中心化项目中. 
4. 统一查询与内置报表查看
在左侧菜单中选择某一类数据进行跨账号的统一搜索, 也支持多个产品之间的协同查询与分析以及内置报表. 
5. 其他审计操作
可以在日志服务首页直接定位到中心项目, 进行扩展的审计操作.
- 针对数据交互式分析, 请参考SQL统计功能.
- 构建自定义报表, 请参考仪表盘操作
- 订阅报表并定期发送, 请参考报表订阅
- 指定规则并自定义告警, 请参考告警操作
- 清洗数据做统一分析或输出. 请参考数据加工
- 通过接口对接SOC或其他系统, 请参考数据投递
更多参考
- 产品发布页宣传。
- 产品直播
- 日志服务手册与Demo
- 扫群加入日志服务技术支持钉钉群, 获得第一手资料与支持:
