本文档将为您介绍如何使用日志分析功能,查看木马、漏洞、入侵检测及所有登录行为事件等多维度的安全日志并进行相关操作。
概述
日志分析提供木马、漏洞、入侵检测及所有登录行为事件等多维度的安全日志,支持语句检索和查询,并提供可视化报表、统计分析和导出功能,让您能够快速地排查和溯源主机上的安全事件,提升运营效率。
根据《网络安全法》、《信息安全等级保护》规定,日志存储时长不少于6个月,推荐每台服务器配置50GB 存储容量,以便采集和留存日志数据。首次购买日志分析,默认采集购买日之前3个月的日志,购买后持续存储。若已购买日志分析,但出现容量不够的情况,此时日志分析服务将会暂停,待扩容后日志分析服务才能正常使用(暂停期间所产生的日志也会同步存储)。
限制说明
所有腾讯云用户均可购买主机安全日志分析服务。
日志分析是主机安全的增值服务,需进入 主机安全购买页 单独购买。
使用日志投递功能,需要先 购买腾讯云消息队列 Ckafka 实例,按照需要投递的日志量来选购对应 Ckafka 实例规格。
日志投递功能,仅支持使用一个消息队列 Ckafka 账号进行日志投递。
操作指南
1. 登录 主机安全控制台。
2. 在左侧导航栏,选择日志分析,各功能说明如下。
日志查看
按时间类型筛选日志:在日志分析页面上方,支持按时间(今天、昨天、近7天、近30天及自定义日期)及日志类型筛选日志分析结果,选择需要查看的时间,或选择需要查看的分析日志类别,单击确定即可。
说明:
还原:在柱形图右上角单击还原,时间选择器会回到初始时间范围(今天)。
切换时间选择器的选项、切换日志类型及重新输入检索框等重新出发检索的操作,都会使柱形图回归当前时间选择器范围的初始时间(今天)。
按记录字段筛选日志:在日志分析页面上方,支持按日志记录字段筛选,提供手动输入字段、自动输入字段两种方式。
手动输入字段:在输入框内以字段名和字段值成对的形式输入需要筛选的字段,单击
参考下图所示示例:
自动输入字段:单击
单击保存检索以达到保存当前检索配置(检索日志类型、检索语句)的目的,在输入框中输入当前检索配置的名称,单击确定即可。
单击快速检索弹窗显示已保存的检索配置,选择需要的检索配置,单击打开可按照目标检索配置进行检索。
快速检索查看日志
方式1:为了方便对指定单位时间范围内的日志检索操作,您可以将鼠标在页面上的蓝色日志数量柱形图上滑动,快速选定时间范围,进行查看。
方式2:单击蓝色日志数量柱形图,可进一步对日志进行放大检索。
您可在日志列表中,根据“展示字段”模块内容,按照从上到下的顺序查看每个流量日志的字段详情。当“展示字段”中仅有 source 字段时,您在日志列表中,可查看到的字段顺序将会为“隐藏字段”顺序,且列表最多展示60000条数据。
自定义需要显示或隐藏的字段:
显示:将鼠标移动至隐藏字段上方,在隐藏字段右侧,单击显示,该隐藏字段将出现在展示字段中,对应右侧日志列表将展示该字段内容。
隐藏:将鼠标移动至展示字段上方,在展示字段右侧,单击隐藏,该隐藏字段将在展示字段中删除,对应右侧日志列表将不再展示该字段内容。
导出:在字段详情左上角,单击导出,日志分析会将满足检索条件的60000条日志导出为文件,并通过浏览器下载到本地。
说明:
单次最多支持导出60000条日志,最大支持每种类型导出10000条数据。
切换表格列展示:在字段详情右上角,单击
说明:
按住Shift+滚动鼠标滚轮,可横向滚动列表,查看更多字段。
日志投递
在日志投递功能中,您可配置主机安全不同日志类型分别投递到指定 Ckafka 实例的不同 Topic 中。
1. 单击左上角的日志投递,打开日志投递配置弹窗,首次若未授权Ckafka服务,须先单击前往授权,同意服务授权后才可进行更多日志投递配置。
2. 同意授权服务后,须选择消息队列实例、网络接入方式,输入所选消息队列实例的用户名和密码,并进行连通性测试。
1. 网络接入方式:选择公网域名接入、支撑环境接入或内网投递。
公网域名接入:通过公网进行日志投递。
说明:
可选接入路由是消息队列实例中所定的接入方式。
支撑环境接入:通过腾讯云内网进行日志投递,性能更高。
说明:
支撑环境接入的可选路由暂不支持 PLAINTEXT 接入方式。
内网投递:通过腾讯云内网进行日志投递,但路由无需用户在 ckafka 中进行配置,会自动创建一个不可见的内部路由来支持接入。
2. 选完接入方式后,需要选择接入路由,路由策略在 ckafka 实例列表页面 的基本信息中的“接入方式”面板中添加。
3. 选完接入路由,需要填写 ckafka 实例的用户名和密码,改用户名密码在ACL 策略管理 > 用户管理中添加。
注意:
此处用户名只需填写#后面的纯用户名即可,无需填写#及其前的 ckafka 实例 ID。
4. 连通性测试通过后,您可以对要进行投递的日志配置不同的Topic(不进行投递的日志类型,可以不选择Topic ID)。
5. 单击确定,日志配置成功后,再次单击日志投递,可查看日志投递详情。
基本信息:展示 Ckafka 实例的基本信息。
注意:
您需要关注“状态”字段,当展示告警或异常时,请单击查看监控,查看 Ckafka 服务是否异常,或者是否配额不足。
投递开关:用于控制指定的日志类型,启动或停止日志投递任务,您可以在投递开关列,通过开关按钮控制日志投递任务。
投递状态:正常、异常(此状态会中止投递)、未开启。
编辑:单击编辑,可再次编辑要投递的日志类型和 Topic ID。
查看监控:单击查看监控,会跳转至消息队列 Ckafka 控制台的监控页面,您可以查看网络流量、峰值带宽、消息条数、磁盘占用等情况。
重新配置:在日志投递列表上方,单击重新配置,将回到已同意 Ckafka 授权服务后的状态,您可对消息队列实例、网络接入方式、日志类型、Topic ID 等进行重新配置。
注意:
重新配置,会中断当前的投递进程。