云安全中心常见问题

本文汇总了日志分析服务使用过程中的常见问题与解答，涵盖日志投递、多账号容量共享、存储策略、续费扩容等方面的典型疑问。
服务开通与权限
1. 未购买日志分析服务，是否可以使用？
可以，但需要满足以下条件：您的账号已被管理员账号共享了日志存储容量。在多账号场景下，管理员可以通过多账号配置功能将存储容量共享给成员账号，被共享的账号无需单独购买即可使用日志分析服务。
2. 多账号场景下，如果为成员账号配置日志投递，是否需要成员账号购买 Kafka 或者 CLS 服务？
不需要，您可以选择将日志投递到开通服务的账号中。投递的目标可以是一致的。
日志检索与分析
1. 检索不到日志数据可能是什么原因？
日志存储未开启：在日志配置中确认目标产品的日志类型已开启存储开关。
时间范围选择不当：检查检索时间范围是否覆盖了目标日志的产生时间。
多账号场景下来源账号未切换：在页面右上角日志来源账号中确认已选择正确的来源账号。
存储时间已过期：如果存储时间设置较短（如 30 天），超出存储时限的历史日志会被自动清理。
2. 语句检索（CQL）和过滤检索有什么区别？应该使用哪种？
对比项
语句检索（CQL）
过滤检索
使用方式
在搜索栏中手动输入 CQL 查询语句
通过可视化界面选择字段、条件和值
适用场景
多条件组合的复杂查询、精准分析
快速筛选、简单条件过滤
学习成本
需要了解 CQL 语法规则
无需编写语句，上手简单
推荐人群
安全运维工程师、高级分析师
所有用户
注意：
日常快速查询使用过滤检索，复杂分析场景使用 CQL 语句检索。
日志配置与存储
1. 将存储时间从大改小（例如从不限时间改为 180 天），数据会如何处理？
系统会从最晚一条数据开始向上倒推，仅保留最近指定天数的数据，超出时限的历史数据将被清除。例如，将存储时间从不限时间改为 180 天，系统将清除 180 天之前的所有日志数据，且不可恢复。
多账号配置与容量共享
1. 取消容量共享后，成员账号的日志数据会怎样？
取消容量共享后，该成员账号的历史日志数据将被立即清除，且不可恢复。
2. 成员账号标签显示数据清理中，何时可以重新开启共享？
数据清理中表示该账号最近被取消了容量共享，系统正在清理历史数据。需要等待数据清理完成后，标签状态更新后方可重新开启共享。清理时间取决于数据量大小。
3. 第三方云账号可以使用容量共享功能吗？
暂不支持。目前容量共享仅支持将容量共享给腾讯云账号，第三方云账号（如 AWS、Azure 等接入的账号）暂不支持容量配额共享。
日志投递
1. 日志投递是实时还是非实时的？
日志投递是实时的，开启投递开关后将会立即进行投递。
2. 日志投递至 Kafka 时，连通性测试失败怎么办？
请按以下步骤排查：
检查网络接入方式：确认选择的接入方式（公网域名/支撑环境/内网环境/其他 Kafka）与实际网络环境一致。
检查用户名密码：如果使用公网域名接入或支撑环境接入，需要填写 Kafka 实例的用户名和密码。注意：用户名仅填写 # 号后面的部分，无需填写 CKafka 实例 ID。
检查 CKafka 实例状态：确认 CKafka 实例处于正常运行状态。
检查 ACL 策略：确认 CKafka 实例的 ACL 策略允许当前用户访问。
检查 TLS 配置：如果开启了 TLS 加密，确保 CKafka 实例也已启用对应的 SSL 接入方式。
3. 一个日志类型可以同时投递到 Kafka、CLS 和 Splunk 吗？
可以。Kafka、CLS、Splunk 三种投递通道相互独立，同一日志类型可以同时配置投递到多个目标平台。
4. Splunk 投递是否支持跨账号投递？
Splunk 投递使用内网接入方式时，目前只能选择投递到自己账号的 VPC 资源，暂不支持跨账号投递。
续费和扩容
1. 续费和扩容有什么区别？
对比项
续费
扩容
作用
延长日志分析服务的有效期
增加日志存储容量上限
影响范围
服务到期时间
存储容量
互相关系
不增加存储容量
不延长服务时间
2. 存储容量满了会怎样？
当存储容量达到上限后，新的日志数据将无法继续存储。建议在容量使用接近上限时及时进行扩容，或通过调整存储时间（缩短不常用日志类型的存储时长）释放空间。
附录术语表
术语
英文
说明
CQL
Cloud Query Language
云安全中心内置的日志检索查询语言，支持多条件组合与复杂查询
CLS
Cloud Log Service
腾讯云日志服务，用于日志采集、存储、检索与分析
CKafka
Cloud Kafka
腾讯云消息队列服务，基于 Apache Kafka
HEC
HTTP Event Collector
Splunk 的 HTTP 事件收集器，用于通过 HTTP(S) 接收日志数据
VPC
Virtual Private Cloud
虚拟私有网络
CLB
Cloud Load Balancer
腾讯云负载均衡
ACL
Access Control List
访问控制列表
SASL_PLAINTEXT
-
一种 Kafka 认证接入方式
﻿
﻿
﻿
﻿
﻿

对比项	语句检索（CQL）	过滤检索
使用方式	在搜索栏中手动输入 CQL 查询语句	通过可视化界面选择字段、条件和值
适用场景	多条件组合的复杂查询、精准分析	快速筛选、简单条件过滤
学习成本	需要了解 CQL 语法规则	无需编写语句，上手简单
推荐人群	安全运维工程师、高级分析师	所有用户

对比项	续费	扩容
作用	延长日志分析服务的有效期	增加日志存储容量上限
影响范围	服务到期时间	存储容量
互相关系	不增加存储容量	不延长服务时间

术语	英文	说明
CQL	Cloud Query Language	云安全中心内置的日志检索查询语言，支持多条件组合与复杂查询
CLS	Cloud Log Service	腾讯云日志服务，用于日志采集、存储、检索与分析
CKafka	Cloud Kafka	腾讯云消息队列服务，基于 Apache Kafka
HEC	HTTP Event Collector	Splunk 的 HTTP 事件收集器，用于通过 HTTP(S) 接收日志数据
VPC	Virtual Private Cloud	虚拟私有网络
CLB	Cloud Load Balancer	腾讯云负载均衡
ACL	Access Control List	访问控制列表
SASL_PLAINTEXT	-	一种 Kafka 认证接入方式

常见问题

本页目录：

服务开通与权限

1. 未购买日志分析服务，是否可以使用？

2. 多账号场景下，如果为成员账号配置日志投递，是否需要成员账号购买 Kafka 或者 CLS 服务？

日志检索与分析

1. 检索不到日志数据可能是什么原因？

2. 语句检索（CQL）和过滤检索有什么区别？应该使用哪种？

日志配置与存储

1. 将存储时间从大改小（例如从不限时间改为 180 天），数据会如何处理？

多账号配置与容量共享

1. 取消容量共享后，成员账号的日志数据会怎样？

2. 成员账号标签显示数据清理中，何时可以重新开启共享？

3. 第三方云账号可以使用容量共享功能吗？

日志投递

1. 日志投递是实时还是非实时的？

2. 日志投递至 Kafka 时，连通性测试失败怎么办？

3. 一个日志类型可以同时投递到 Kafka、CLS 和 Splunk 吗？

4. Splunk 投递是否支持跨账号投递？

续费和扩容

1. 续费和扩容有什么区别？

2. 存储容量满了会怎样？

附录术语表