建立日誌庫以根據指定的攝取和保留設定來組織收集的日誌資料。
開始之前
要開始在日誌儲存庫中管理日誌資料,您必須部署一個或多個已安裝第三方日誌收集服務的服務閘道。
步驟
- 在 或 中,點選「Create New Log Repository」。
- 指定日誌存儲庫的名稱和描述。
- 選擇所需的攝取和保留類型。
-
攝取類型
-
分析:匯入日誌資料以進行分析、關聯和安全威脅狩獵
-
支援分析和歸檔保留
-
-
存檔:攝取日誌資料以進行不頻繁的查詢或滿足合規要求
-
僅支援檔案保留
-
重要
-
要導入日誌資料,您必須分配點數給 Agentic SIEM。
-
您無法在建立日誌存儲庫後更改其攝取類型。
-
-
保留類型:
-
分析:允許頻繁檢索日誌資料以進行分析、關聯和安全威脅狩獵。預設保留期限:30 天
-
歸檔:儲存資料防護以符合合規要求或供不常查詢之用
注意
在 Agentic SIEM 中,資料防護超過預設期限需要額外的點數。 -
-
- 按一下「建立」。日誌庫已建立,並顯示日誌庫詳細資訊面板。
- 新增一個或多個收集器到日誌儲存庫,以開始從您的第三方資料來源攝取和保留日誌資料。
重要
在 Service Gateway Management 中的已部署服務閘道上添加收集器之前,請確保您已安裝第三方日誌收集服務。 - 監控您在 中的資料輸入和保留。