一键开启态势感知日志实时收集:安全、网络、主机三大类14种日志-阿里云开发者社区

开发者社区> 成喆> 正文

一键开启态势感知日志实时收集:安全、网络、主机三大类14种日志

简介: 本篇介绍如何一键开启态势感知日志实时收集:安全、网络、主机三大类14种日志,以及具体的相关日志的位置、字段信息等
+关注继续查看

背景

目前,阿里云态势感知与日志服务打通,对外开放平台依赖或者产生的日志,包括网络、主机、安全三大类共14种子类日志。提供近实时的日志自动采集存储、并提供基于日志服务的查询分析、报表报警、下游计算对接与投递的能力。

image

本文介绍如何配置态势感知的日志并介绍日志的具体类别与格式。

配置

前提条件

  1. 开通态势感知企业版本,并在此基础上购买日志增值模块
  2. 开通日志服务

步骤

刚进入态势感知控制台的日志分析下,在界面引导下开通日志服务并授权操作后。就可以立刻开始使用日志分析功能了。
image

image

专属日志库

日志都会集中放到这一个日志库中,不同的日志通过主题__topic__进行区分。

属性
专属的日志库名字是sas-log,存放于日志服务的项目sas-log-阿里云账户ID-区域名中。国内项目在杭州区域(cn-hangzhou),国外开通的有马来西亚区域(ap-southeast-3)。
默认的日志库的分区数量是4个, 并且打开了自动Split功能,默认的存储周期是180天(超过180天的日志会自动被删除)。

限制
专属的日志库用于存入态势感知的日志, 因此不允许用户通过API/SDK写入其他数据. 其他的查询、统计、报警、流式消费等功能与一般日志库无差别.

态势感知日志格式

日志类别与主题

默认开启的日志包括如下3大类14子类,具体类别和主题如下:

安全日志

日志来源 主题(__topic__) 描述 备注
漏洞日志 sas-vul-log 漏洞日志 安全运营产生,实时采集
基线日志 sas-hc-log 基线日志 安全运营产生,实时采集
安全告警日志 sas-security-log 安全告警日志 安全运营产生,实时采集

网络日志

日志来源 主题(__topic__) 描述 备注
DNS日志 sas-log-dns 通过网络的DNS日志 由网络采集,2小时延迟左右
本地DNS日志 local-dns 同一个阿里云域内的ECS之间DNS解析日志 由ECS内的DNS服务采集,延迟1小时
网络会话日志 sas-log-session 特定协议的网络日志 由网络采集,延迟1小时
Web日志 sas-log-web HTTP日志 由网络采集,延迟1小时

主机日志

日志来源 主题(__topic__) 描述 备注
进程启动日志 aegis-log-process 主机上进程启动信息 由安骑士agent采集,实时数据,进程一启动日志就上报
网络连接日志 aegis-log-network 主机上连接的五元组信息 由安骑士agent采集,windows为实时数据,linux为10秒采集,增量上报
系统登录日志 aegis-log-login SSH、RDP登录成功日志 由安骑士agent采集,准实时数据
暴力破解日志 aegis-log-crack 登录失败的日志 由安骑士agent采集,准实时的登录失败日志
进程快照 aegis-snapshot-process 主机上进程快照信息 若在安骑士-资产指纹中开启了自动收集则会有数据,快照形式,每台机器一天非固定时间收集一次当时运行进程信息
账户快照 aegis-snapshot-host 主机上账户快照信息 若在安骑士-资产指纹中开启了自动收集则会有数据,快照形式,每台机器一天非固定时间收集一次当时的账号信息
端口侦听快照 aegis-snapshot-port 主机上端口侦听快照信息 若在安骑士-资产指纹中开启了自动收集则会有数据,快照形式,每台机器一天非固定时间收集一次当时的端口侦听信息

日志格式

具体的日志字段在购买态势感知的服务后可以参考帮助文档。

进一步参考

进一步参考相关最佳实践:

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
在与SQL Server建立连接时出现与网络相关的或特定于实例的错误
        向往前一样,学习牛腩新闻发布系统的视频,敲代码,打开数据库,出现一个框框,详细内容如下:                 数据库连接不上,所有的工作都要歇班,捣鼓了会儿,简单总结一下解决该问题的方法。
1162 0
这些知识点你都了解了吗?#CISSP-D2:资产安全
资产安全知识域涵盖信息和信息资产在其生命周期中的安全保护,包括恰当的收集、分类、处置以及控制措施的选择和使用。本知识域的重要概念包括数据的所有权、隐私、数据安全控制和相关密码学的应用。安全和风险管理知识域包含了许多基本的信息安全概念、原则以及信息安全管理相关活动和方法。
244 0
在与 SQL Server 建立连接时出现与网络相关的或特定于实例的错误
错误信息: 标题: 连接到服务器 ------------------------------ 无法连接到 (local)。 ------------------------------ 其他信息: 在与 SQL Server 建立连接时出现与网络相关的或特定于实例的错误。未找到或无法访问服务器。请验证实例名称是否正确并且 SQL Server 已配置为允许远程连接。 (provider
1380 0
《阿里云安全报告》中文版开启全文下载,详解2018上半年网络安全态势
近日,由阿里云安全创新实验室推出的《2018上半年阿里云安全报告》中文版开启全文下载。 报告指出,今天的网络安全风险比以往任何时候都大,无论企业的服务和数据部署本地还是云上,只要有价值的数据,就会成为攻击目标。
3049 0
+关注
成喆
不忘初心 方得始终
99
文章
2
问答
来源圈子
更多
阿里云存储基于飞天盘古2.0分布式存储系统,产品包括对象存储OSS、块存储Block Storage、共享文件存储NAS、表格存储、日志存储与分析、归档存储及混合云存储等,充分满足用户数据存储和迁移上云需求,连续三年跻身全球云存储魔力象限四强。
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载