冷库日志

冷藏档案日志比您的热存储权利年龄较大。如果您搜索存储超出计划的热数据保留期的日志数据,则仍可以从冷库导入。所选时间帧和日志选择的日志数据将自动重新称为InsightIdr并可供搜索。

注意:数据保留期将根据您的计划而有所不同。

在更改数据保留计划之前从冷库导入日志

如果您正在增加热存储数据保留并希望将冷存储数据移动到新的热保留计划,您必须在更改保留计划之前从冷库中导入数据。如果您首先增加计划,您可能需要联系Rapid7支持以获得从冷库导入数据。

从冷存储导入日志

当您尝试在数据保留期之外搜索日志数据时,系统将提示您从冷库导入日志。

要从冷库导入日志:

  1. 转到日志搜索并搜索超出您的数据保留期。出现通知消息,并提醒您在数据保留期之外搜索。
  2. 点击从冷存储导入日志按钮开始导入。
  3. 当。。。的时候说出你的冷进口出现窗口,输入导入的名称。保存更改。

出现一个通知消息并提醒您导入过程已开始。导入完成后,您将能够从左侧菜单中从导入和导出存档中访问和搜索导入的数据。

查看导入的冷库日志

导入和导出存档提供所有导入的冷库日志。转到左侧菜单,然后选择“导入和导出存档”。出现存档后,请转到冷库日志选项卡。

从冷库日志列表中,您可以看到所有已重新称为InsightIdr,其状态和它们覆盖的时间范围的所有日志。