云安全中心支持归档30天前的告警数据。您可以对历史告警数据进行归档并下载。定期归档历史告警数据,便于您查看和管理最近的告警数据。本文介绍如何使用归档告警数据功能。

背景信息

您执行归档数据操作后,云安全中心会自动归档30天前的所有历史告警数据(包括已处理和未处理的告警),并提供下载归档数据的功能。已归档的数据将无法在云安全中心控制台上进行查看。如果需要查看已归档的数据时,您要先将归档数据下载到本地。如果您从未执行过归档数据,您可以在云安全中心控制台上查看所有的告警数据。
说明 如果您的账号30天前没有告警数据,云安全中心会为您在安全告警处理页面归档数据区域生成空的归档数据(文件名称suspiciousExport_执行归档操作的日期_时间戳.zip)。

您24小时内只能执行一次归档数据操作。归档数据下载次数不受限制。

云安全中心基础版、基础杀毒版、高级本和企业版都支持归档告警数据功能。

操作步骤

  1. 登录云安全中心控制台
  2. 在左侧导航栏单击威胁检测 > 安全告警处理
  3. 安全告警处理页面右上角单击归档数据
    以下是归档数据的相关说明:
    • 第一次单击归档数据:云安全中心会自动为您归档当前时间30天前的历史告警数据并生成下载链接。
    • 不是第一次单击归档数据:云安全中心会自动为您归档上一次归档数据截止日期到当前时间30天前之间的告警数据并生成下载链接。

    例如,您在2020年8月13日第一次单击归档数据,云安全中心会为您归档2020年7月14日(2020年8月13日30天前)之前的所有告警数据(包含2020年7月14日),并生成名称为suspiciousExport_20200813_1597282822.zip的归档文件。您在2020年8月15日再次单击归档数据,云安全中心会为您归档2020年7月15日至2020年7月16日的告警数据,并生成名称为suspiciousExport_20200815_1597455622.zip的归档文件。

    说明 云安全中心24小时内最多为您归档一次告警数据。即在24小时内第一次单击归档数据时为您归档告警数据并生成归档文件。再次单击归档数据时,不会触发归档操作,仅为您打开归档数据对话框,您可以查看已归档的数据。
  4. 归档数据对话框中查看已归档的数据。
  5. 单击已归档数据下载链接列下的下载,将归档数据下载到本地。
    归档数据的文件格式为XLSX。归档数据下载时间依赖于网络带宽和文件大小,一般需要2~5分钟。
    下载完成后,您可以在归档数据文件中,查看历史告警的告警ID、告警名称、告警详情、告警等级、状态、影响资产、影响资产备注名称、影响概况和告警发生时间。
    说明 告警状态为已经过期说明在告警发生30天内,您未对该告警做任何处理。建议您及时对云安全中心检测到的安全告警事件进行处理。
  6. 单击确定