功能简介
企业安全组流日志将实时记录所有经过的安全组规则的流量情况,包括拦截和观察规则,可以配合企业安全组完成云上隔离和内网流量审计。
说明:
配置指引
企业安全组日志依赖网络流日志,需要从您的 CLS 中采集原始日志信息进行加工处理,所以需要您创建有 CLS 权限的角色并授权 CLS 采集网络流日志。
1. 使用主账号进入 访问管理-用户列表页面,为防火墙日志投递任务创建专属 API 调用账号,创建新用户并赋予 CLS 的全读写权限(QcloudCLSFullAccess)更多详情请参见 创建子用户-快速创建。
2. 在 访问控制-企业安全组页面,单击企业安全组日志的设置详情。
3. 在采集企业安全组日志页面,单击配置 CLS 日志服务的编辑,填写 SecurityID 和 SecurityKey 进行身份认证,单击保存。
5. 在 访问控制-企业安全组页面,单击企业安全组的流日志开关,启用流日志功能。
6. 单击设置详情,开启需要采集内网间流量的 VPC 开关。
实践教程
场景一:审计安全组拦截命中
说明:
排查命中阻断策略的安全组,定位具体是哪一条安全组规则阻断流量。
1. 出现流量被安全组拦截,需要定位具体拦截的规则时。
2. 在 访问控制-企业安全组页面,单击企业安全组的日志设置,打开需要排查的 VPC 对应开关,企业安全组会自动记录安全组的阻断命中日志。
3. 复现被拦截的流量连接请求,在 访问控制日志-企业安全组 流日志中,根据访问源/访问目的进行筛选,定位命中阻断策略的安全组规则。
场景二:VPC 内(子网间、子网内)流量监控
说明:
监控所有 VPC 内的流量,包括子网间、子网内的流量。
1. 在 访问控制-企业安全组页面,单击企业安全组的日志设置,打开需要排查的 VPC 对应开关。
2. 企业安全组流日志会自动记录该 VPC 内所有流量情况,包括子网间访问流量和子网内流量。
3. 在 流量日志-内网流量日志页面,对子网间、子网内的流量进行记录排查。
场景三:VPC 间流量监控
说明:
监控所有进出 VPC 的内网流量。
1. 在 访问控制-企业安全组页面,单击企业安全组的日志设置,打开需要排查的 VPC 对应开关。
2. 企业安全组流日志会自动记录进出该 VPC 内所有流量情况。
3. 在 流量日志-内网流量日志页面,对该 VPC 的进出流量进行记录排查。
