建立日誌庫以根據指定的攝取和保留設定來組織收集的日誌資料。

開始之前

要開始在日誌庫中管理日誌資料,您必須擁有一個或多個已部署的服務閘道,並安裝第三方日誌收集服務。
注意
注意
部分地區並未提供此功能。
重要
重要
這是一個預發布的子功能,並不是正式商業版或一般發布版的現有功能的一部分。使用此子功能前,請先查看預發佈子功能免責聲明

步驟

  1. Workflow and AutomationData Source and Log ManagementXDR Threat InvestigationThird-Party Log Collection 中,點擊 Create New Log Repository
    Create Log Repository 抽屜出現。
  2. 指定日誌庫的名稱和可選描述。
  3. 選擇所需的攝取和保留類型。
    • 攝取類型
      • 分析:匯入日誌資料以進行分析、關聯和安全威脅狩獵
    • 保留類型:
      • 分析:允許頻繁檢索日誌資料以進行分析、關聯和安全威脅狩獵。預設保留期限:30 天
    注意
    注意
    即將推出用於管理不常訪問的日誌資料的合規性攝取和保留類型。
  4. 按一下「建立」。
    日誌庫已建立,並顯示日誌庫詳細資訊面板。
  5. 將一個或多個收集器添加到日誌庫中,以開始從您的第三方資料來源中攝取和保留日誌資料。目前僅支援通用事件格式 (CEF) 的日誌。
    重要
    重要
    請確保您已在服務閘道管理中部署的服務閘道上安裝第三方日誌收集服務,然後再添加收集器。每個連接的收集器必須有一個服務閘道。
  6. 搜尋應用程式上執行對已攝取日誌資料的查詢,並在服務閘道管理中監控日誌儲存庫的流量使用情況。