使用日誌存儲庫根據指定的攝取和保留設置來組織和管理您的第三方日誌資料。
日誌儲存庫接收並保留由連接的收集器接收的第三方日誌資料。您可以為每個日誌儲存庫配置特定的接收和保留設定,以有效地組織您的第三方日誌資料。可用的接收和保留設定包括:
-
攝取類型
-
分析:匯入日誌資料以進行分析、關聯和安全威脅狩獵
-
支援分析和存檔保留
-
-
歸檔:攝取日誌資料以進行不頻繁的查詢或滿足合規要求
-
僅支援檔案保留
-
重要
-
要導入日誌資料,您必須分配點數給 Agentic SIEM。
-
您無法在建立日誌存儲庫後更改其攝取類型。
-
-
保留類型:
-
分析:允許頻繁檢索日誌資料以進行分析、關聯和安全威脅狩獵。預設保留期限:30 天
-
歸檔:儲存資料以符合合規要求或用於不頻繁的查詢
注意
在 Agentic SIEM 中,資料防護超過預設期限需要額外的點數。 -