日志审计(原生版)数据模型一共包括四块内容。
字段管理:对日志审计系统中日志记录的各数据字段进行定义、配置和维护的过程。
数据字典管理:定义和维护日志数据中标准化值和代码映射关系的功能。
索引策略管理:高效检索的索引创建和维护策略。
脱敏规则管理:日志中敏感信息进行掩码或替换的保护机制。
字段管理
登录日志审计(原生版)控制台。
在左侧导航栏选择“系统配置 > 数据模型”。
单击“新增”即可开始新增字段。
注意
内置日志字段不支持删除操作,数值型和时间类型字段不支持编辑操作。
字段配置 说明 中文名称 名称自定义,必填。 字段名称 字母数字下划线组成,必填。 字段类型 下拉选择合适字段类型,必选。 描述 填写字段相关描述信息。 是否脱敏 字符类型选择字符型或IP地址字符型时显示该字段。 关联脱敏规则 勾选是否脱敏时显示该字段,可下拉选择已配置的脱敏规则。
数据字典管理
该功能主要是针对部分日志字典内容,配置转义。
如:事件等级默认为数值型,页面展示为映射结果。
登录日志审计(原生版)控制台。
在左侧导航栏选择“系统配置 > 数据模型”,在上方选择“数据字典管理”页签。
单击“新增”即可开始新增字段。
注意
内置数据字典无法进行编辑和删除操作。
数字字典配置 说明 所属字段 下拉选择字段管理的相关字段,必填。 字典名称 名称自定义,必填。 描述 填写关于字典的相关信息描述。
索引策略管理
配置日志索引在Elasticsearch中保存天数,每天凌晨1点删除超过该天数的索引。默认索引保存天数180天。
登录日志审计(原生版)控制台。
在左侧导航栏选择“系统配置 > 数据模型”,在上方选择“索引策略管理”页签。
配置日志分层存储策略,单击“保存修改”,完成配置。
参数 说明 索引分层 是否开启日志分层存储。
默认值为关闭,即不开启日志分层存储。
取值范围:
关闭:与已有存储方案保持一致,所有数据为热存储。
开启:可配置热冷存储,注意只对新数据有效。
索引保存天数 配置日志索引在ElasticSearch中的保存天数,每天凌晨1点删除超过该天数的索引。
取值范围:
“索引分层”关闭时,默认值为180天。
“索引分层”开启时,默认值为热存储0~90天,冷存储90~180天。
热存储:用于存储经常被访问的数据,支持数据实时访问,提供高性能的日志查询和分析功能,适用于数据高频查询分析等业务场景。
冷存储:在现有热存储的基础上,为您提供更低成本且可查询、分析的长期数据存储方案。适用于数据审计长期保存的业务场景。
是否打开储存警戒值 储存警戒值打开后,每天凌晨1点删除ElasticSearch中的旧数据,直到ElasticSearch磁盘利用率低于该储存警戒值。
默认关闭。
注意
删除的数据无法恢复,请谨慎开启储存警戒值。
脱敏规则管理
登录日志审计(原生版)控制台。
在左侧导航栏选择“系统配置 > 数据模型”,在上方选择“脱敏规则管理”页签。
单击“新增”即可开始新增脱敏规则。
参数 说明 名称 自定义名称,长度不超过30个字符。 脱敏算法 支持按位遮蔽、邮箱脱敏、姓名脱敏、正则表达式脱敏。
按位遮蔽:可自定义遮蔽位置。
邮箱脱敏:邮箱前缀仅显示前1个/2个字符,其他隐藏,@及后面的地址显示,比如:li**@chinatelecom.cn。
姓名脱敏:两个字隐藏首字;三个字及以上,都显示第一个和最后一个,中间隐藏。
正则表达式脱敏:自定义正则表达式进行脱敏。
过滤位置 开始位置和截取长度仅支持数字输入,范围1~256,超出范围时自动填充最大值。 替换字符 默认*号,不可编辑,暂不支持其他字符。
