阿里云日志服务作为行业领先的日志大数据解决方案，一站式提供数据收集、清洗、分析、可视化和告警功能。目前发布日志审计服务功能，提供多账户下跨多云产品审计相关日志进行实时自动化中心化采集，并提供审计需要的存储、查询、信息汇总支持。覆盖Actiontrail、OSS、SLB、RDS、API网关等基础产品并支持自由对接到其他生态产品或自有SOC中心。

背景

日志审计是法律刚性需求

无论海内外，尤其国内自从2017年《网络安全法》还是今年《等保2.0》的即将与12月实施，企业落实日志审计变得越迫切.

日志审计是客户安全合规依赖基础

很多企业自身有很成熟的法规条例以及合规审计团队,针对账号设备操作，网络行为进行审计，也需要对日志审计。一方面客户有成熟的内部合规团队，可以直接消费原生各类日志；客户也可以直接使用日志审计服务提供的审计支持，直接构建并输出合规审计信息；如果客户有安全中心（SOC）可以直接消费日志审计中日志，也可以直接使用阿里云安全中心。

日志审计是安全防护的重要一环

根据FileEye M-Trends 2018报告，企业安全防护管理能力薄弱，亚太地区尤甚间，企业组织的攻击从发生到发现所需时长平均101天，而亚太平均需要498天；其中发现后的验证平均需要58天。很显然，需要长期、可靠、无篡改的日志记录与审计支持下，来持续缩短这个时间。

日志服务与日志审计服务App

日志服务与审计场景

SLS作为行业领先的日志大数据解决方案，一站式提供数据收集、清洗、分析、可视化和告警功能。一直很好的支持日志服务场景相关场景：DevOps、运营、安全、审计.

典型日志审计场景

根据我们支持客户的反馈来看,日志审计可以分成如下4层需求，越往上越高级。

说明

1. 基础需求是大部分中小企业客户需要的自动化采集存储日志的功能，他们主要的诉求是满足等保2.0最低的需求，并脱离手工去维护。
2. 高级需求的是跨国公司、大公司以及部分中型客户，他们往往多个部门之间独立结算，并且在使用阿里云的账号上各自隔离。但是在审计的时候，却需要自动化的统一采集相关日志，他们的主要诉求除了上述外，额外需要能够中心化的采集日志、并支持多个账号的简单管理。这部分公司往往有自己的审计系统，因此对日志审计的需求是能够实时、简单的对接。
3. 再高一级的需求是有专门合规团队的大公司,他们需要针对日志进行监控、告警和分析的需求，一部分客户可以直接采集同步数据到期专门的审计系统中去操作. 一部分尤其是计划在云上搭建一套新的审计系统的客户, 可以直接使用日志服务提供的审计支持(查询, 分析, 告警, 可视化等)进行审计操作.
4. 最顶上的客户往往是拥有专业成熟审计合规团队的大公司, 一般其都拥有自己的一套SOC或审计系统, 核心需求是对接数据进行统一操作.
   针对以上4类客户, 日志服务的日志审计服务都可以比较好的满足.

日志审计服务App

日志审计服务以日志服务的App形式存在，将于11月初发布，并公测到12月底，公测期间App免费，数据存储、读写流量等按标准按量收费。
提供多账户下跨多云产品审计相关日志进行实时自动化中心化采集，并提供审计需要的存储、查询、信息汇总支持。覆盖Actiontrail、OSS、SLB、RDS、API网关等基础产品并支持自由对接到其他生态产品或自有SOC中心。

产品技术功能与优势

优势

• 完整数据采集：产品覆盖所有审计相关日志自动化采集（可接入20+产品）
• 配置简单与自动化：跨多主账号、自动实时发现新资源并实时采集。一键式配置（一期支持6个）。
• 丰富建模与分析功能：借助SLS查询分析、加工、报表、告警、导出等功能，完整支持审计场景下分析告警对接需求
• 低成本存储：利用对象存储、冷备等介质保证低成本
• 丰富生态：与开源、阿里云大数据、第三方SOC软件无缝对接，充分发挥数据价值

功能

区域与产品覆盖

发布区域

登录入口：

• 中国站(目前邀测阶段,申请入口,需登录
• 国际站(即将发布)

数据区域：

• 数据采集区域目前支持公共云所有区域
• 同步到中心化目标区域，目前支持北京、上海、杭州、深圳等区域以及新加坡

覆盖产品
支持接入支持如下产品(一键式接入的为蓝色):

快速开始

1. 开通

首先开通日志服务的日志审计功能.

2. 首次配置

进入App后的首次配置页面, 选择中心化存储的区域, App会在保存后自动构建一个固定模式名字的项目. 选择开启相关的产品, 并参考页面提示授权, 之后保存.

3. 多账户配置

在多账户配置的全局配种, 配置其他多个主账号, 将其日志也统一收集到当前中心化项目中.

4. 统一查询与内置报表查看

在左侧菜单中选择某一类数据进行跨账号的统一搜索, 也支持多个产品之间的协同查询与分析以及内置报表.

5. 其他审计操作

可以在日志服务首页直接定位到中心项目, 进行扩展的审计操作.

1. 针对数据交互式分析, 请参考SQL统计功能.
2. 构建自定义报表, 请参考仪表盘操作
3. 订阅报表并定期发送, 请参考报表订阅
4. 指定规则并自定义告警, 请参考告警操作
5. 清洗数据做统一分析或输出. 请参考数据加工
6. 通过接口对接SOC或其他系统, 请参考数据投递

更多参考

• 产品发布页宣传。
• 产品直播
• 日志服务手册与Demo
• 扫群加入日志服务技术支持钉钉群, 获得第一手资料与支持:
  

(en)