用户日志存储空间划分为在线日志、备份日志两部分,两者比例为7:3。最新产生的日志为在线日志,可在查询分析页面查看。当在线日志存储空间占用达到80%后,系统将把早期日志压缩存储,以节约空间,压缩比约为4:1。
说明:
例如:24 年01月23 日,用户在线日志存储空间达到80%,触发了日志备份,系统把用户在线日志中最早期的一段(如 23 年04月01日-23 年04月30日)取出来进行压缩备份,备份后这段时间的日志会从在线空间删除,无法在审计日志页面查看,用户的在线存储空间从 80% 降低到了 70%,备份后的文件可以在备份日志查看页面获取。
而在日志备份设置页面,用户设定了“备份日志保留时长”为 6 个月,代表该日志备份文件如果 6 个月内未手动恢复(操作单击 恢复)则永久清理。如果用户希望查看这段时间的日志,需要在在线存储空间足够的前提下,从备份日志查看页面对目标文件进行恢复。恢复后的日志会被放回在线日志存储空间,用户可以在审计日志页面重新查询到。
如果在线存储空间不足,可以通过存储扩容保留更久时长的日志。
备份设置
1. 登录 数据安全审计控制台,在左侧导航栏中,单击基础审计 > 日志管理。
2. 在日志管理页面,单击日志存储管理。
3. 在日志存储管理页面,设置日志备份的相关参数,单击保存。
参数 | 定义 | 说明 |
在线日志存储时间 | 指日志以可直接在数据安全审计服务中查询、访问的 “在线” 形式,在系统中保留的最长时间。 | 超过这个时间的日志,会被自动触发归档(前提是开启了归档日志存储)。 同时,当在线日志总量达到8 亿条时,也会触发自动归档,优先归档最早期的日志,释放在线存储空间。 归档后,对应时间段的日志会从在线空间删除,无法直接在审计日志页面查看。 |
归档日志存储状态 | 开启后,系统会将超出在线存储时长 / 数量的日志,以压缩文件的形式进行离线归档备份,降低在线存储成本。 | 归档后的日志为文件形式,默认无法直接查询,需手动恢复后才能访问。 归档文件会保留在归档日志管理页面,直到达到 “日志生命周期” 设置的时长后被自动清理。 |
恢复日志保留时间 | 指您从归档备份中 “恢复” 到在线空间的日志,在在线空间中保留的最长时间。 | 恢复操作会把归档文件解压、重新写入在线日志存储中,供您临时查询。 达到保留时长后,恢复的日志会被自动清理,不会占用在线空间,也不会重新触发归档。 这个时长主要用于避免恢复的日志长期占用在线存储资源。 |
日志生命周期 | 指日志的最长保留时长,到期后日志会被永久自动清除,无法再恢复。 | 从日志生成开始计算,达到日志生命周期设定总时长后,系统自动删除,删除后不可恢复。 |
归档日志管理
说明:
最多支持恢复 500 GB 日志;
同一时间只能进行一个恢复任务;
在线日志和归档日志会占用存储空间,恢复日志不占用存储空间。
1. 登录 数据安全审计控制台,在左侧导航栏中,单击基础审计 > 日志管理。
2. 在日志管理页面,单击归档日志管理。
3. 在归档日志管理页,可通过日志起始时间、结束时间确认需要查看的备份日志。
4. 日志状态为已归档的日志,可以单击
恢复
。
5. 在确认恢复弹窗中,给出了预估的恢复时间,单击确定后等待恢复完成。
6. 恢复完成后,其日志状态变更为已恢复。单击操作列的查看,弹出日志查看页面。
7. 若要删除备份日志,单击操作列的删除备份,经过二次确认后即可删除。
说明
备份文件只有恢复后才可查看。
备份文件删除之后,无法恢复,请谨慎操作。
