背景

云资产安全形势

信息时代越来越发达，网络信息安全形势愈加严峻，刚刚过去的2018年，安全事件频发且非常严重。2018年1月爆出幽灵漏洞严重影响大面积的CPU、操作系统、路由器等基础设施。3月份Facebook被暴出3000万客户资料被泄露，同月黑客利用漏洞感染了欧洲欧洲40万台机器；国内5月份，某快递公司被暴出上亿条客户信息被黑客盗取，8月某酒店集团的1.3亿条用户以及2.4亿条开房记录泄露。

根据RedLock2018年5月的云安全报告，使用云资产的企业中51%的存在配置错误、27%存在账户被窃取、24%的云主机存在重要安全漏洞未打补丁、还有25%的企业有云资产被黑客用来挖矿。

阿里云安骑士

阿里云安骑士（服务器安全护卫）是一款经受百万级服务器稳定性考验的安全加固产品，拥有自动化实时入侵威胁检测、病毒查杀、漏洞智能修复、基线一键核查、网页防篡改等功能，是构建服务器安全防线的统一管理平台。

阿里云日志服务

阿里云的日志服务（log service）是针对日志类数据的一站式服务，无需开发就能快捷完成海量日志数据的采集、消费、投递以及查询分析等功能，提升运维、运营效率。日志服务主要包括 实时采集与消费、数据投递、查询与实时分析 等功能，适用于从实时监控到数据仓库的各种开发、运维、运营与安全场景：

安骑士实时日志分析介绍

目前，安骑士与日志服务打通，对外开放平台依赖或者产生的日志，包括主机、安全共11种子类日志。提供近实时的日志自动采集存储、并提供基于日志服务的查询分析、报表报警、下游计算对接与投递的能力。

发布地域

• 国内

适用客户

• 对云上资产的主机、及安全日志有存储合规需求的大型企业与机构，如金融公司、政府类机构等。
• 拥有自己的安全运营中心（SOC)，需要收集安全告警等日志进行中央运营管理的企业，如大型地产、电商、金融公司、政府类机构等。
• 拥有较强技术能力，需要基于云上资产的日志进行深度分析、对告警进行自动化处理的企业，如IT、游戏、金融公司等。

功能优势

• 快速：安全与主机日志分析从十几分钟级提升为秒级
• 全面：覆盖主机、安全类共11种子类日志
• 灵活：所见即所得分析能力，内置6张报表，用户可以自定义构建业务视图、告警等
• 开放：与阿里云、开源生态下流计算、大数据系统融合，对合作伙伴开放
• 合规：免费提供180天日志存储，提供相应数据检索能力以及数据对接能力

限制说明

安骑士所存储的日志库属于专属的日志库，有如下限制：

1. 用户无法通过API/SDK等方式写入数据，或者修改日志库的属性（例如存储周期等）
2. 其他日志库的功能，例如查询、统计、报警、流式消费等均支持与一般日志库无差别
3. 日志服务对专属日志库不进行任何收费，但日志服务本身需处于可用状态（不超期欠费）
4. 内置的报表可能会在以后更新并升级

使用场景

1.追踪主机登录、进程启动、网络链接，溯源安全威胁：

可以在日志服务的日志库中进行交互式查询：

也支持标准SQL92语法，并融合多种扩展分析函数，参考查询分析日志。

2. 实时查看主机活动，洞察状态与趋势：

可以使用内置报表，洞察主机、安全状况，具体参考内置报表，用户甚至可以免费构建自己的报表大盘。

3. 快速了解安全运营效率，即时反馈处理：

可以查看内置运营活动报表，了解运营效率：

也可以在日志查询分析的结果上，基于特定条件建立个性化的告警通知，以便第一时间处理，日志服务支持多种告警模式（例如钉钉、短信等），并支持自定义告警内容模板：

4. 输出安全网络日志到自建数据与计算中心

使用日志服务，支持多种形式将日志导出到您的SOC、OSS或者流式计算引擎当中，具体可以参考日志服务与Splunk集成实战、日志服务与SIEM集成实战（syslog）。

进一步参考

进一步参考相关用户手册与最佳实践：

• 阿里云安骑士 - 简介
• 阿里云安骑士 - 配置实时日志
• 阿里云安骑士 - 日志类别
• 阿里云安骑士 - 内置报表
• 阿里云安骑士 - 高级管理
• 日志服务与Splunk集成实战
• 日志服务与SIEM集成实战（syslog）