关于 Log360 Cloud 的存储层级

本页内容：

• 关于存储层级
• 工作流程
• 核心功能和运营优势

关于存储层级

Log360 Cloud 提供多种存储层级，实现高效管理、灵活保留和降低成本。此多层次存储选项允许您针对收集的数据应用不同的保留策略。每个存储层级可指定可存储的日志类型及其清理方式。每个层级都可以自定义保留期限、日志类型、来源和过滤条件，从而实现重要日志的长期保留，并最小化不太相关或高容量日志的存储。

这种方法帮助组织控制存储消耗，优先处理关键日志，同时不影响成本或性能。Log360 Cloud 还为您提供跨层级的日志趋势详细统计分析。

以下功能构成 Log360 Cloud 存储管理系统的核心：

• 存储层
• 存储统计分析

存储层

存储层级允许您为不同类型的日志定义独立日志保留策略。您可以创建最多二十个自定义层级，每个层级具有自己针对日志类型、来源、保留期限和可选过滤器（如 日志严重级别、主机 IP 以及设备名称）的配置。

每个层级支持两种保留类型：

• 搜索保留：定义日志在实时搜索、警报和报告中可用的时间长度。
• 归档保留：定义日志离开搜索存储后的长期存储保留时间。

Log360 Cloud 包含以下内置层级：

• 默认存储层级：存储不匹配任何自定义层级的日志。此层级不可禁用或删除。
• 警报存储层级：存储 匹配已配置警报配置文件的日志。 这些日志会被实时分析，用于基于配置的阈值或条件触发警报。
• 关联存储层级：存储 ：匹配已配置的关联规则，分析来自多个来源的日志事件，以检测攻击或可疑行为。

存储层级可以编辑、禁用、清理或删除（内置层级除外）。任何更改只对新收集的日志生效。若层级被禁用，日志会路由到下一个匹配层级或默认层级。禁用层级中的现有日志将在保留期结束后删除。

存储层级帮助您长期保留重要日志，提前清理大量或不相关日志，从而更好地控制存储。

存储统计分析

为帮助您直观了解不同层级的存储消耗情况，Log360 Cloud 提供详细的使用洞察，通过统计分析视图，您可以跟踪存储趋势、识别高容量日志来源，并分析哪些日志类型占用最大存储空间。

统计数据可以按存储层级、日志类型和日志来源过滤。可视化图表显示基于日志接收时间的日志大小和日志数量， 而非日志事件的原始时间戳。.

您可以使用自定义日期范围过滤，最长可达 365 天。针对默认和自定义存储层级， 主要日志来源 以及 主要日志类型 标签页帮助识别对存储消耗贡献最大的设备或事件类别。针对警报和关联存储层级，相应的 主要配置文件 以及 主要规则 标签页突出显示产生最多日志量的警报配置文件或关联规则。此可视化使管理员能够调整保留策略、应用过滤器，或将日志重新分配到更合适的层级，以优化存储。

存储层级工作流程

工作流程从收集传入日志开始，日志经过检测引擎分析后，基于特定条件分配到对应存储层级，确保存储和处理的高效性。

1. 日志收集：所有传入日志均路由到检测引擎。
2. 日志处理：依据日志来源、日志类型、用户名、严重性等条件分析日志。
3. 层级匹配：每条日志与所有配置的存储层级进行匹配。
4. 自定义层级： 匹配自定义层级配置的日志被导入相应的自定义存储层级。
5. 基于优先级的路由：当多个层级配置相同时，日志会被路由到用户设置的最高优先级层级。
6. 默认层级： 不匹配任何自定义层级的日志将发送到默认存储层级。
7. 检测引擎：日志分层后，还将进行后续处理，包括关联、警报和威胁检测。

存储层级的核心功能与运营优势

Log360 Cloud 的存储层级功能使 IT 与安全团队能够智能管理日志数据，大规模控制保留，并降低整体存储开销，同时不影响可视性和合规性。这些功能帮助团队：

• 实施特定层级的保留策略： 基于日志类型或来源应用有针对性的搜索和归档时长，确保关键数据被保存，同时根据配置的保留策略系统性移除不太相关的日志。
• 优化存储成本： 将频繁查询的日志保存在搜索存储中，将较少访问的数据移动到归档存储。
• 了解使用趋势 : 利用内置统计信息，获得跨层级的存储趋势可见性，突出显示哪些日志类别贡献最大存储。该洞察支持围绕层级配置和资源分配做出明智决策。

另请参阅

本文档详细介绍了 Log360 Cloud 存储层级的关键功能和运营优势。有关如何在您的环境中配置和管理这些功能，请参阅以下文章：

• 配置存储层
• 管理存储层