使用前须知使用日志审计服务进行日志区域化存储或中心化存储前，请合理评估存储地域是否满足相关法律法规和安全监管的要求。

　　从各个阿里云账号、各个地域采集到的日志，会存储到中心账号下的一个中心Project中，目前中心化存储可供选择的地域如下所示。

　　当您切换中心账号所在地域时，日志服务为您创建一个新的中心Project，原Project不会被删除。

　　中国：华北1（青岛）、华北2（北京）、华北5（呼和浩特）、华东1（杭州）、华东2（上海）、华南1（深圳）、中国（香港）

　　针对SLB、ALB、OSS、PolarDB-X 1.0访问日志和VPC流日志，日志审计服务支持将各个主账号采集到的日志存储到中心主账号下的各个与SLB、ALB、OSS、PolarDB-X 1.0和VPC实例处于相同地域的日志服务Project中（例如：杭州的OSS访问日志，存储到杭州的日志服务Project中）。

　　针对SLB、ALB、OSS、PolarDB-X 1.0和VPC的区域化存储，支持将各个地域的Logstore同步到一个中心化的Logstore中，以便做中心化查询、分析、告警、可视化、二次开发等。

　　例如您开启了RDS审计日志和错误日志的采集，如果同时开启了两者的冷热分层存储功能，则热存储天数为二者中的最大值；如果您只开启RDS审计日志的冷热分层存储功能，没有开启RDS错误日志的冷热分层存储功能，则默认关闭其所在Logstore（rds_log）的冷热分层存储功能。

　　日志审计服务的专属Logstore支持冷热分层存储功能。相对热存储而言，冷存储成本更低，其数据的查询与分析性能有所降低，其余功能（例如告警、可视化、加工、投递等）不受影响。更多信息，请参见智能冷热分层存储。

　　目前已支持智能冷热分层存储的审计中心区域为华北1（青岛）、华北2（北京）、华北5（呼和浩特）、华东1（杭州）、华东2（上海）、华南1（深圳）。

　　您可以在日志审计服务的全局配置页面开启冷热分层存储，其中热存储时间必须大于等于30天且不能超过当前存储天数。例如当前中心化存储时间为180天，开启30天热存储，则日志将在保存30天之后转为冷存储。

　　日志审计服务支持自动更新索引或手动修改索引。具体操作，请参见自动更新索引。

　　修改索引时，如果系统提示该日志库是SLS应用日志审计专属库，不支持修改索引属性、关闭索引，请在日志审计服务的全局配置页面，单击修改，然后单击确定，重建日志审计服务配置。

　　中心主账号需要开通日志服务与日志审计服务App，从其他主账号采集日志到中心主账号下。除特定云产品日志依赖外，其他主账号默认无需开通日志服务，也不会在其账号的日志服务下产生特定费用。目前日志审计服务免费，其涉及的数据存储、读写流量、数据加工等按量付费。更多信息，请参见计费项。

　　SLB、ALB、OSS、PolarDB-X 1.0、容器服务Kubernetes版的日志，在开启同步到中心后，会使用数据加工功能进行同步，其涉及的加工与跨网流量费用等按量付费。更多信息，请参见计费项。

　　您可以通过日志审计服务或普通采集方式采集云产品日志，两种方式各自计算费用。如果使用了两种方式进行采集，日志服务将保存两份数据，但两者的应用场景不同。

　　日志审计服务：支持多账户下实时自动化、中心化采集云产品日志。所采集到的日志主要用于合规审计。

　　普通方式：分地域采集，分散化管理。所采集到的日志主要用于日志分析。更多信息，请参见云产品日志概述。

　　开通日志审计服务与对应云产品的日志采集后，在云产品侧可能会产生额外的费用，如下所示。

　　开启云数据库RDS审计日志采集功能后，会自动开启符合条件（支持MySQL的非基础版本，PostgreSQL高可用版）的RDS实例的SQL洞察（SQL审计）功能，费用详情请参见计费项。

　　如果您已为RDS实例开通SQL洞察试用版，则开启采集后，日志审计服务将自动关闭SQL洞察试用版，并开通SQL洞察正式版。

　　SQL洞察存储时长默认为30天。如果您要修改，需在RDS控制台上操作。具体操作，请参见修改SQL日志的存储时长。该存储时长与日志审计服务中的RDS审计日志的存储天数互相独立，互不影响。

　　如果您在RDS控制台上设置的SQL洞察存储时长低于30天，则未满足日志投递条件，日志审计服务会自动将其重置为30天。

　　如果您已停止采集RDS审计日志，且希望关闭SQL洞察功能，可在RDS控制台上进行手动关闭。具体操作，请参见关闭SQL洞察。

　　开启云数据库PolarDB的审计日志采集功能后，会自动开启MySQL集群的SQL洞察（SQL审计）功能，费用详情请参见计费项概览。

　　如果您已为PolarDB实例开通SQL洞察试用版，则开启采集后，日志审计服务将自动关闭SQL洞察试用版，并开通SQL洞察正式版。

　　SQL洞察存储时长默认为30天。如果您要修改，需在PolarDB控制台上操作。具体操作，请参见修改SQL日志的存储时长。该存储时长与日志审计服务中的PolarDB审计日志的存储天数互相独立，互不影响。

　　如果您在PolarDB控制台上设置的SQL洞察存储时长低于30天，则未满足日志投递条件，日志审计服务会自动将其重置为30天。

　　如果您已停止采集PolarDB审计日志，且希望关闭SQL洞察功能，可在PolarDB控制台上进行手动关闭。具体操作，请参见关闭SQL洞察和审计。

　　流日志的计费项由流日志生成费和日志服务的服务费组成。更多信息，请参见流日志计费说明。

　　您可以通过日志审计服务或VPC控制台开启VPC流日志的采集，两种方式相互独立（开启和关闭都互不影响），各自计算流日志费用（流日志生成费+日志服务的服务费）。

　　删除日志审计相关Project前，需先关闭VPC流日志的采集，否则对应VPC实例的流日志功能仍将处于开启状态。