檢視次數:

使用日誌存儲庫根據指定的攝取和保留設置來組織和管理您的第三方日誌資料。

日誌儲存庫接收並保留由連接的收集器接收的第三方日誌資料。您可以為每個日誌儲存庫配置特定的接收和保留設定,以有效地組織您的第三方日誌資料。可用的接收和保留設定包括:
  • 攝取類型
    • 分析:匯入日誌資料以進行分析、關聯和安全威脅狩獵
      • 支援分析和存檔保留
    • 歸檔:攝取日誌資料以進行不頻繁的查詢或滿足合規要求
      • 僅支援檔案保留
    重要
    重要
    • 要導入日誌資料,您必須分配點數給 Agentic SIEM。
    • 您無法在建立日誌存儲庫後更改其攝取類型。
  • 保留類型:
    • 分析:允許頻繁檢索日誌資料以進行分析、關聯和安全威脅狩獵。預設保留期限:30 天
    • 歸檔:儲存資料以符合合規要求或用於不頻繁的查詢
    注意
    注意
    在 Agentic SIEM 中,資料防護超過預設期限需要額外的點數。
要匯入日誌資料,您必須新增收集器。所有連接的收集器會根據日誌儲存庫的匯入和保留設定來收集日誌資料。若要根據不同的設定收集資料,請建立新的日誌儲存庫