建立日誌庫

步驟

1. 在「Workflow and Automation」 → 「Third-Party Integration」 → 「Third-Party Log Collection」或「服務管理」 → 「Data Source and Log Management」 → 「Third-party log repositories」中，點選「Create New Log Repository」。
2. 指定日誌存儲庫的名稱和描述。
3. 選擇所需的攝取和保留類型。
   • 攝取類型
     • 分析：匯入日誌資料以進行分析、關聯和安全威脅狩獵
       • 支援分析和歸檔保留
     • 存檔：攝取日誌資料以進行不頻繁的查詢或滿足合規要求
       • 僅支援檔案保留

     重要 要導入日誌資料，您必須分配點數給 Agentic SIEM。 您無法在建立日誌存儲庫後更改其攝取類型。

   • 保留類型：
     • 分析：允許頻繁檢索日誌資料以進行分析、關聯和安全威脅狩獵。預設保留期限：30 天
     • 歸檔：儲存資料防護以符合合規要求或供不常查詢之用

     注意 在 Agentic SIEM 中，資料防護超過預設期限需要額外的點數。

4. 按一下「建立」。
   日誌庫已建立，並顯示日誌庫詳細資訊面板。
5. 新增一個或多個收集器到日誌儲存庫，以開始從您的第三方資料來源攝取和保留日誌資料。

   重要 在 Service Gateway Management 中的已部署服務閘道上添加收集器之前，請確保您已安裝第三方日誌收集服務。

6. 監控您在「Data Source and Log Management」 → 「Data usage and monitoring」中的資料輸入和保留。