背景
目前,阿里云态势感知与日志服务打通,对外开放平台依赖或者产生的日志,包括网络、主机、安全三大类共14种子类日志。提供近实时的日志自动采集存储、并提供基于日志服务的查询分析、报表报警、下游计算对接与投递的能力。
本文介绍如何配置态势感知的日志并介绍日志的具体类别与格式。
配置
前提条件
- 开通态势感知企业版本,并在此基础上购买日志增值模块
- 开通日志服务
步骤
刚进入态势感知控制台的日志分析下,在界面引导下开通日志服务并授权操作后。就可以立刻开始使用日志分析功能了。
专属日志库
日志都会集中放到这一个日志库中,不同的日志通过主题__topic__进行区分。
属性
专属的日志库名字是sas-log,存放于日志服务的项目sas-log-阿里云账户ID-区域名中。国内项目在杭州区域(cn-hangzhou),国外开通的有马来西亚区域(ap-southeast-3)。
默认的日志库的分区数量是4个, 并且打开了自动Split功能,默认的存储周期是180天(超过180天的日志会自动被删除)。
限制
专属的日志库用于存入态势感知的日志, 因此不允许用户通过API/SDK写入其他数据. 其他的查询、统计、报警、流式消费等功能与一般日志库无差别.
态势感知日志格式
日志类别与主题
默认开启的日志包括如下3大类14子类,具体类别和主题如下:
安全日志
| 日志来源 | 主题(__topic__) |
描述 | 备注 |
|---|---|---|---|
| 漏洞日志 | sas-vul-log | 漏洞日志 | 安全运营产生,实时采集 |
| 基线日志 | sas-hc-log | 基线日志 | 安全运营产生,实时采集 |
| 安全告警日志 | sas-security-log | 安全告警日志 | 安全运营产生,实时采集 |
网络日志
| 日志来源 | 主题(__topic__) |
描述 | 备注 |
|---|---|---|---|
| DNS日志 | sas-log-dns | 通过网络的DNS日志 | 由网络采集,2小时延迟左右 |
| 本地DNS日志 | local-dns | 同一个阿里云域内的ECS之间DNS解析日志 | 由ECS内的DNS服务采集,延迟1小时 |
| 网络会话日志 | sas-log-session | 特定协议的网络日志 | 由网络采集,延迟1小时 |
| Web日志 | sas-log-web | HTTP日志 | 由网络采集,延迟1小时 |
主机日志
| 日志来源 | 主题(__topic__) |
描述 | 备注 |
|---|---|---|---|
| 进程启动日志 | aegis-log-process | 主机上进程启动信息 | 由安骑士agent采集,实时数据,进程一启动日志就上报 |
| 网络连接日志 | aegis-log-network | 主机上连接的五元组信息 | 由安骑士agent采集,windows为实时数据,linux为10秒采集,增量上报 |
| 系统登录日志 | aegis-log-login | SSH、RDP登录成功日志 | 由安骑士agent采集,准实时数据 |
| 暴力破解日志 | aegis-log-crack | 登录失败的日志 | 由安骑士agent采集,准实时的登录失败日志 |
| 进程快照 | aegis-snapshot-process | 主机上进程快照信息 | 若在安骑士-资产指纹中开启了自动收集则会有数据,快照形式,每台机器一天非固定时间收集一次当时运行进程信息 |
| 账户快照 | aegis-snapshot-host | 主机上账户快照信息 | 若在安骑士-资产指纹中开启了自动收集则会有数据,快照形式,每台机器一天非固定时间收集一次当时的账号信息 |
| 端口侦听快照 | aegis-snapshot-port | 主机上端口侦听快照信息 | 若在安骑士-资产指纹中开启了自动收集则会有数据,快照形式,每台机器一天非固定时间收集一次当时的端口侦听信息 |
日志格式
具体的日志字段在购买态势感知的服务后可以参考帮助文档。
进一步参考
进一步参考相关最佳实践:
- 阿里云态势感知 - 简介
- 阿里云态势感知 - 配置实时日志
- 阿里云态势感知 - 查询分析日志
- 阿里云态势感知 - 查看内置报表
- 阿里云态势感知 - 导出日志
- 扫码加入官方钉钉群 (11775223):
