檢視次數:

建立日誌庫以根據指定的攝取和保留設定來組織收集的日誌資料。

開始之前

要開始在日誌儲存庫中管理日誌資料,您必須部署一個或多個已安裝第三方日誌收集服務的服務閘道。

步驟

  1. 「Workflow and Automation」「Third-Party Integration」「Third-Party Log Collection」「服務管理」「Data Source and Log Management」「Third-party log repositories」中,點選「Create New Log Repository」
  2. 指定日誌存儲庫的名稱和描述。
  3. 選擇所需的攝取和保留類型。
    • 攝取類型
      • 分析:匯入日誌資料以進行分析、關聯和安全威脅狩獵
        • 支援分析和歸檔保留
      • 存檔:攝取日誌資料以進行不頻繁的查詢或滿足合規要求
        • 僅支援檔案保留
      重要
      重要
      • 要導入日誌資料,您必須分配點數給 Agentic SIEM。
      • 您無法在建立日誌存儲庫後更改其攝取類型。
    • 保留類型:
      • 分析:允許頻繁檢索日誌資料以進行分析、關聯和安全威脅狩獵。預設保留期限:30 天
      • 歸檔:儲存資料防護以符合合規要求或供不常查詢之用
      注意
      注意
      在 Agentic SIEM 中,資料防護超過預設期限需要額外的點數。
  4. 按一下「建立」。
    日誌庫已建立,並顯示日誌庫詳細資訊面板。
  5. 新增一個或多個收集器到日誌儲存庫,以開始從您的第三方資料來源攝取和保留日誌資料。
    重要
    重要
    在 Service Gateway Management 中的已部署服務閘道上添加收集器之前,請確保您已安裝第三方日誌收集服務。
  6. 監控您在「Data Source and Log Management」「Data usage and monitoring」中的資料輸入和保留。