本文介绍如何将日志分析模块的安全产品日志实时投递至 Kafka,包括单账号和多账号场景下的完整配置步骤。
功能概述
日志投递功能支持将安全产品日志实时投递至 Kafka,满足用户在日志归档、跨平台联动分析及自建安全运营体系等场景下的数据流转需求。同时支持多账号场景下的配置同步,管理员可将投递配置一键同步到其他成员账号。
前提条件
1. 已购买日志分析服务的账号。
2. 当前的登录账号是已经被共享了存储容量的账号。
操作步骤
1. 登录 云安全中心控制台,在左侧导航中,单击日志分析。
2. 在日志分析页面,单击右上方的日志投递 > 投递至 Kafka。
3. 上半部分展示的是投递目标的消息队列详情,下半部分展示的是每一个产品的投递策略配置。
4. 在投递至 kafka 页面,单击右上角的修改投递配置。
5. 投递配置策略分为两个配置,①是消息队列的投递目标配置,②是日志投递配置(包括需要投递的日志类型及对应的 kafka 主题)。
6. 配置消息队列,目前支持四种网络接入方式:公网域名接入、支撑环境接入、内网环境接入、其他 kafka 接入。
接入方式 | 描述 | 备注 |
公网域名接入 | 通过公网进行日志投递 | 消息队列实例默认的接入方式 |
支撑环境接入 | 通过腾讯云内网进行日志投递,性能稳定,效率更高 | 是消息队列实例中默认的接入方式,仅支持 SASL_PLAINTEXT 接入方式 |
内网环境接入 | 通过腾讯云内网进行日志投递,但路由无需用户在 Ckafka 中进行配置,会自动创建一个不可见的内部路由来支持接入 | - |
其他 kafka 接入 | 通过其他 kafka 进行日志投递 | - |
说明:
网络接入方式若选择“公网域名接入”、“支撑环境接入”,还需要选择接入路由,路由策略对应 Ckafka 实例列表 详情中的接入方式。
网络接入方式若选择“公网域名接入”、“支撑环境接入”,还需要填写 Ckafka 实例的用户名和密码,用户名密码在 Ckafka 实例列表 详情中的 ACL 策略管理 > 用户管理 添加。(在配置日志投递时,仅填写#后的用户名即可,无需填写#及其前的 Ckafka 实例 ID。)
7. 完成上述 kafka 配置后需要进行连通性测试,测试通过后。您可以给需要投递的日志,配置不同的投递目标(选择目标 Topic)。
8. 如果所有日志需要投递到同一个 Topic,您可以单击已完成配置的项目,单击右侧的应用全部,即可完成一键应用全部。
9. 配置完成后单击确认,再次进入详情页面,您可以在这里选择开启或中断对应日志的投递开关。支持单个和批量操作。
10. 单击编辑后,能够修改投递的目标 Topic。
多账号场景
在多账号场景下,如果您使用管理员账号或委派管理员账号登录,可以在日志投递模块为成员账号配置投递策略。与常规使用场景不同,您需要重点关注以下配置项:
日志来源账号(指定要投递的日志所属账号)
日志投递目标(指定接收日志的目标账号的 kafka)
注意:
目标账号需开通 kafka 服务方可使用此功能。
1. 登录 云安全中心控制台,在左侧导航中,单击日志分析。
2. 在日志分析页面,单击右上方的日志投递 > 投递至 Kafka。
3. 在日志投递页面,配置日志来源账号和日志投递目标。
日志来源账号,单击左上角的日志来源账号,选择所需成员,单击确定即可为当前成员账号的日志配置投递策略。
日志投递目标:单击修改投递配置,选中消息队列所属账号,单击即可切换对应的账号,需要选中的账号开通了 kafka 服务。
4. 其他日志投递配置的操作和常规操作场景一致。
