安骑士主机日志实时分析功能-阿里云开发者社区

开发者社区> 阿里云存储服务> 正文
登录阅读全文

安骑士主机日志实时分析功能

简介: 日志服务与安骑士主机日志已经打通,提供实时分析查询、开箱即用的多个领域报表

您是否已经在使用了安骑士保护着成千上万的主机,并且有进一步的需求:

  1. 法规需要,要留存IT设备的日志一段时间。
  2. 主机上的登录、网络、进程日志等,可以清楚知道所有这些主机上发生的行为,需要基于此进行实时分析查询与报表建立,便于对系统整体有一个认知。
  3. 导出这些日志到其他系统,便于进一步管理。

如果是的,您可以开通安骑士主机日志导入到日志服务,进行实时分析查询,建立自己的规则报警,并使用开箱即用的多领域报表。

基本介绍

日志服务支持采集安骑士日志,并对采集到的安骑士相关日志进行实时查询与分析统计、通过多种可视化方式进行分析结果的直观展示。日志服务对安骑士相关日志的专业日志采集分析手段,可以简化您的操作审计和事件回溯,让您的工作更有效率。

前提条件

  1. 已开通日志服务。
  2. 已开通安骑士服务企业版本或更高版本

配置步骤

步骤1 准备Project和Logstore

在日志服务控制台中,在一个国内区域下创建一个项目和对应的Logstore,用于存放相关的安骑士日志。如:aegis_log

步骤2 日志采集授权

在日志服务控制台中,选择Logstore的【数据接入向导】,选择【安骑士日志】,点击下一步,在【数据源配置】页面中,单击快捷授权为日志服务授权,授权后日志服务有权限将安骑士日志分发到您的logstore中。

aegies_2

步骤3 配置查询分析

继续上面的步骤,选择下一步后,进入【查询分析 & 可视化】页面中,日志服务已预设了安骑士日志所需的查询索引,字段说明请查看安骑士日志格式。确认后单击下一步。

注意:系统默认为您创建3个特定的仪表盘,配置完成后您可以在仪表盘页面查看。

步骤4 关联安骑士日志

在安骑士控制台中,从导航菜单中选择【日志检索】> 【日志投递】,打开特定日志的投递开关,并选择步骤1中准备好的Project和Logstore。
aegis_3

也可以在态势感知控制台中,从导航菜单选择【更多功能】 > 【日志检索】 > 【日志投递】打开特定日志(前面7个)的投递开关,操作同上。
aegis_4

默认仪表盘

我们提供了3个开箱即用的报表中心:

  • 网络中心

    • 各种网络相关的提取汇总信息
    • 有助于帮助快速识别、追踪和分析已知或未知网络攻击,网络病毒等
  • 认证中心

    • 各种登录事件的提取汇总信息
    • 有助于帮助快速识别、追踪和分析已知或未知账户攻击,信息泄漏等
  • 进程中心

    • 各种进程启动的提取汇总信息
    • 有助于帮助快速识别、追踪和分析已知或未知终端攻击,病毒木马和APT攻击等

更多参考视频:

安骑士日志格式

安骑士主机保护提供以下几种日志,搜索不同数据时,使用__topic__进行区分即可。

日志来源 描述 备注
进程启动日志 主机上进程启动信息 由安骑士agent采集,实时数据,进程一启动日志就上报
网络连接日志 主机上连接的五元组信息 由安骑士agent采集,windows为实时数据,linux为10秒采集,增量上报
系统登录日志 SSH、RDP登录成功日志 由安骑士agent采集,准实时数据
暴力破解日志 登录失败的日志 由安骑士agent采集,准实时的登录失败日志
进程快照 主机上进程快照信息 若在安骑士-资产指纹中开启了自动收集则会有数据,快照形式,每台机器一天非固定时间收集一次当时运行进程信息
账户快照 主机上账户快照信息 若在安骑士-资产指纹中开启了自动收集则会有数据,快照形式,每台机器一天非固定时间收集一次当时的账号信息
端口侦听快照 主机上端口侦听快照信息 若在安骑士-资产指纹中开启了自动收集则会有数据,快照形式,每台机器一天非固定时间收集一次当时的端口侦听信息

进程启动日志

字段名 名称 例子 备注
__time__ 连接时间 2018-02-27 11:58:15 元数据字段
__topic__ 主题 固定为aegis-log-process
uuid 客户端号 5d83b26b-b7ca-4a0a-9267-123456
ip 客户端机器IP 1.2.3.4
cmdline 用户启动完整命令行 cmd.exe /C "netstat -ano“
username 用户名 administrator
uid 用户ID 123
pid 进程ID 7100
filename 进程文件名 cmd.exe
filepath 进程文件完整路径 C:/Windows/SysWOW64/cmd.exe
groupname 用户组 group1
ppid 父进程ID 2296
pfilename 父进程文件名 client.exe
pfilepath 父进程文件完整路径 D:/client/client.exe -

进程快照

字段名 名称 例子 备注
__time__ 数据获取时间 2018-02-27 11:58:15 元数据字段
__topic__ 主题 固定为aegis-snapshot-process
uuid 客户端号 5d83b26b-b7ca-4a0a-9267-123456
ip 客户端机器IP 1.2.3.4
cmdline 用户启动完整命令行 cmd.exe /C "netstat -ano"
pid 进程ID 7100
name 进程文件名 cmd.exe
path 进程文件完整路径 C:/Windows/SysWOW64/cmd.exe
md5 进程文件名MD5 d0424c22dfa03f6e4d5289f7f5934dd4 超过1MB的进程文件不进行计算
pname 父进程文件名 client.exe
start_time 进程启动时间 2018-01-18 20:00:12 内置字段
user 用户名 administrator
uid 用户ID 123 -

登录日志

注意:1分钟内的重复登录时间会被合并为1条日志,在字段warn_count中体现次数

字段名 名称 例子 备注
__time__ 连接时间 2018-02-27 11:58:15 元数据字段
__topic__ 主题 固定为aegis-log-login
uuid 客户端号 5d83b26b-b7ca-4a0a-9267-123456
ip 客户端机器IP 1.2.3.4
warn_ip 登录来源IP 1.2.3.4
warn_port 登录端口 22
warn_type 登录类型 SSHLOGIN 可能值有:SSHLOGIN(SSH登录)、RDPLOGIN(远程桌面登录)、IPCLOGIN等
warn_user 登录用户名 admin
warn_count 登录次数 3 表示这次登录前1分钟内还发送了2次

暴力破解日志

字段名 名称 例子 备注
__time__ 连接时间 2018-02-27 11:58:15 元数据字段
__topic__ 主题 固定为aegis-log-crack
uuid 客户端号 5d83b26b-b7ca-4a0a-9267-123456
ip 客户端机器IP 1.2.3.4
warn_ip 登录来源IP 1.2.3.4
warn_port 登录端口 22
warn_type 登录类型 SSHLOGIN 可能值有:SSHLOGIN(SSH登录)、RDPLOGIN(远程桌面登录)、IPCLOGIN等
warn_user 登录用户名 admin
warn_count 失败登录次数 3 -

网络连接

注意 安骑士每隔10秒到1分钟会收集一下变化的网络连接,而一个网络连接的状态从建立到结束的过程中会部分状态会被收集到。

字段名 名称 例子 备注
__time__ 连接时间 2018-02-27 11:58:15 元数据字段
__topic__ 主题 固定为aegis-log-network
uuid 客户端号 5d83b26b-b7ca-4a0a-9267-123456
ip 客户端机器IP 1.2.3.4
src_ip 源IP 1.2.3.4
src_port 源端口 41897
dst_ip 目标IP 1.2.3.4
dst_port 目标端口 22
proc_name 进程名 java
proc_path 进程路径 /hsdata/jdk1.7.0_79/bin/java
proto 协议 tcp 其他可能的协议有udp和raw(表示raw socket)
status 连接状态 5 完整连接状态列表和描述,请参考网络连接状态描述

端口监听快照

字段名 名称 例子 备注
__time__ 数据获取时间 2018-02-27 11:58:15 元数据字段
__topic__ 主题 固定为aegis-snapshot-port
uuid 客户端号 5d83b26b-b7ca-4a0a-9267-123456
ip 客户端机器IP 1.2.3.4
proto 协议 tcp 其他可能的协议有udp和raw(表示raw socket)
src_ip 监听IP 1.2.3.4
src_port 监听端口 41897
pid 进程ID 7100
proc_name 进程名 java -

账户快照

字段名 名称 例子 备注
__time__ 连接时间 2018-02-27 11:58:15 元数据字段
__topic__ 主题 固定为aegis-snapshot-account
uuid 客户端号 5d83b26b-b7ca-4a0a-9267-123456
ip 客户端机器IP 1.2.3.4
user 用户 nscd
perm 是否拥有root权限 0 0-没有,1-有
home_dir home目录 /Users/abc
groups 用户属于的组 ["users", "root"] 不属于任何组时为N/A
last_chg 密码最后修改日期 2017-08-24
shell linux的shell命令 /sbin/nologin
domain windows域 administrator 不属于任何域为N/A
tty 登录的终端 pts/3 不适用时为N/A
warn_time 密码到期提醒日期 2017-08-24 永不提醒时为never
account_expire 账号超期日期 2017-08-24 永不过期时为never
passwd_expire 密码超期日期 2017-08-24 永不过期时为never
login_ip 最后一次登录的远程ip地址 1.2.3.4 不适用时为N/A
last_logon 最后一次登录的日期和时间 2017-08-21 09:21:21 不适用时为N/A
status 用户状态 0 0-禁用、1-正常

网络连接状态描述

状态值 描述
1 closed
2 listen
3 syn send
4 syn recv
5 establisted
6 close wait
7 closing
8 fin_wait1
9 fin_wait2
10 time_wait
11 delete_tcb
  • 扫码加入官方钉钉群 (11775223):
    image

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:

阿里云存储基于飞天盘古2.0分布式存储系统,产品多种多样,充分满足用户数据存储和迁移上云需求。

官方博客
链接