功能背景
将接入云安全中心的多款产品日志集中并归一化后通过控制台投递至消息队列,便于存储数据或联合其它系统消费数据,助力挖掘日志数据价值,满足用户日志运维诉求。启用日志投递后,将采集到的日志投递至对应的消息队列。
应用场景
日志存储
根据《中华人民共和国网络安全法》、《信息安全等级保护管理办法》等相关法律法规的规定,企业需要对网络安全事件进行记录和存储,并且日志存储时长不少于6个月。这是为了保障企业的信息安全和网络安全,防止安全事件的发生和滋生。
离线分析
将日志投递至 Kafka 后,企业可以接入其他系统进行离线分析,进一步管控原始日志,协助企业对安全事件进行深入分析和研究,发现安全事件的根本原因和漏洞,提高安全事件的处理能力和水平。
日志投递至 Kafka
在日志分析页面,您可配置云安全中心接入的不同日志类型分别投递到指定 CKafka 实例的不同 Topic 中。
前提条件:
为了将日志投递至消息队列,需要先购买云安全中心旗舰版,并将相关产品的日志接入云安全中心。如果需要使用 CKafka 公网域名或 CKafka 支撑环境接入两种网络接入方式之一,需要先前往创建腾讯云消息队列 CKafka 实例。
Ckafka 公网域名接入
1. 登录 云安全中心控制台,在左侧导览中,单击日志分析。
2. 在日志分析页面,单击日志投递 > 投递至 kafka。
3. 在投递至 kafka页面,云安全中心自动获取账号的腾讯云消息队列 CKafka 实例、已接入云安全中心的日志来源,选择 CKafka 公网域名接入,配置相关参数。
参数名称 | 说明 |
网络接入方式 | CKafka 公网域名接入。 |
TLS 加密 | 选择是否开启 TLS 加密。 |
消息队列所属账号 | 投递目标所属账号。 |
消息队列实例 | 云安全中心自动获取账号的腾讯云消息队列 Ckafka 实例、选择所需消息队列实例。 |
公网域名接入 | 选择所需公网域名。 |
用户名 | 请输入所选消息队列实例的用户名。 |
密码 | 请输入所选消息队列实例的密码。 |
日志来源 | 支持选择主机安全、云防火墙、Web 应用防火墙、云安全中心、DDoS 防护、SaaS 化堡垒机、操作审计、网络蜜罐的日志。 |
日志类型 | 根据所选的日志来源不同则日志类型也有所不同。 |
Topic ID/名称 | 选择所需 Topic。 |
操作 | 新增:单击新增日志投递配置,支持新增多个日志来源。 删除:单击目标日志操作列的删除,经过二次确认后,支持删除该日志来源对应日志类型的日志投递任务。 编辑:如非首次配置日志投递,则支持在日志投递页面,单击修改配置,修改相关日志投递。 |
4. 确认无误后,单击确定,即可将采集到的日志投递至对应的消息队列。
5. 在日志投递页面,支持查看同步接入方式、接入对象、消息队列状态、用户名等消息队列详情,以及日志来源、日志类型、账号来源(多账号下)、Topic ID/名称、Topic 投递状态、投递开关等信息,允许修改消息队列、Topic 配置等信息,查看消息队列和各 Topic 状态。
CKafka 支撑环境接入
1. 登录 云安全中心控制台,在左侧导览中,单击日志分析。
2. 在日志分析页面,单击日志投递 > 投递至 kafka。
3. 在投递至 kafka 页面,云安全中心自动获取账号的腾讯云消息队列 CKafka 实例、已接入云安全中心的日志来源,选择 CKafka 支撑环境接入,配置相关参数。
参数名称 | 说明 |
网络接入方式 | CKafka 支撑环境接入。 |
TLS 加密 | 选择是否开启 TLS 加密。 |
消息队列所属账号 | 投递目标所属账号。 |
消息队列实例 | 云安全中心自动获取账号的腾讯云消息队列 CKafka 实例、选择所需消息队列实例。 |
支撑环境接入 | 选择所需支撑环境。 |
日志来源 | 支持选择主机安全、云防火墙、Web 应用防火墙、云安全中心、DDoS 防护、SaaS 化堡垒机、操作审计、网络蜜罐的日志。 |
日志类型 | 根据所选的日志来源不同则日志类型也有所不同。 |
Topic ID/名称 | 选择所需 Topic。 |
操作 | 新增:单击新增日志投递配置,支持新增多个日志来源。 删除:单击目标日志操作列的删除,经过二次确认后,支持删除该日志来源对应日志类型的日志投递任务。 编辑:如非首次配置日志投递,则支持在日志投递页面,单击修改配置,修改相关日志投递。 |
4. 确认无误后,单击确定,即可将采集到的日志投递至对应的消息队列。
5. 在日志投递页面,支持查看同步接入方式、接入对象、消息队列状态、用户名等消息队列详情,以及日志来源、日志类型、账号来源(多账号下)、Topic ID/名称、Topic 投递状态、投递开关等信息,允许修改消息队列、Topic 配置等信息,查看消息队列和各 Topic 状态。
其他 Kafka 公网接入
1. 登录 云安全中心控制台,在左侧导览中,单击日志分析。
2. 在日志分析页面,单击日志投递 > 投递至 kafka。
3. 在投递至 kafka 页面,选择其他 Kafka 公网接入,配置相关参数。
参数名称 | 说明 |
网络接入方式 | 其他 Kafka 公网接入。 |
TLS 加密 | 选择是否开启 TLS 加密。 |
公网接入 | 根据实际需求填写公网信息。 |
用户名 | 请输入所选消息队列实例的用户名。 |
密码 | 请输入所选消息队列实例的密码。 |
日志来源 | 支持选择主机安全、云防火墙、Web 应用防火墙、云安全中心、DDoS 防护、SaaS 化堡垒机、操作审计、网络蜜罐的日志。 |
日志类型 | 根据所选的日志来源不同则日志类型也有所不同。 |
Topic 名称 | 输入所需 Topic 名称。 |
操作 | 新增:单击新增日志投递配置,支持新增多个日志来源。 删除:单击目标日志操作列的删除,经过二次确认后,支持删除该日志来源对应日志类型的日志投递任务。 编辑:如非首次配置日志投递,则支持在日志投递页面,单击修改配置,修改相关日志投递。 |
4. 确认无误后,单击确定,即可将采集到的日志投递至对应的消息队列。
5. 在日志投递页面,支持查看同步接入方式、接入对象、消息队列状态、用户名等消息队列详情,以及日志来源、日志类型、账号来源(多账号下)、Topic 名称、Topic 投递状态、投递开关等信息,并且允许修改消息队列、Topic 配置等信息。
