本文介绍如何将日志分析模块的安全产品日志实时投递至 Splunk ,包括单账号和多账号场景下的完整配置步骤。
功能概述
日志投递功能支持将安全产品日志实时投递至 Splunk ,满足用户在日志归档、跨平台联动分析及自建安全运营体系等场景下的数据流转需求。同时支持多账号场景下的配置同步,管理员可将投递配置一键同步到其他成员账号。
前提条件
1. 已购买日志分析服务的账号。
2. 当前的登录账号是已经被共享了存储容量的账号。
操作步骤
1. 登录云安全中心控制台,在左侧导航中,单击日志分析。
2. 单击日志分析界面右上方的日志投递 > 投递至 Splunk。
3. 在投递至 Splunk 页面,上半部分展示的是 Splunk 的配置信息(投递目标信息),下半部分是日志类型的配置项(哪些日志要投递出去)。
4. 在投递至 Splunk 页面,单击右上角的修改投递配置。
5. 在投递配置-投递至 Splunk 页面,首先需要编辑 Splunk 的配置信息。
以下为填写配置信息说明:
配置项 | 说明 | 示例 |
网络访问方式 | 内网:Splunk 部署在腾讯云,或者通过专线/云联网接入腾讯云。 公网:一般指 Splunk Cloud Platform,通过公网访问。 | 内网/公网 |
网络服务类型 | 当前支持 CLB,服务通过 CLB(负载均衡)转发,通常投递目标有多个节点,需要负载均衡。 | CLB |
网络所属账号 | Splunk 部署在当前账号或者其他账号的网络环境中 | 常规场景:当前登录账号,无需选择 多账号场景:可以选择其他账号 |
所属网络 | 从下拉列表选择当前账号的 VPC,格式:VpcId|VpcName|CidrBlock。 | vpc-r5ABC123 |
Splunk HEC 服务地址 | 10.0.0.113:8088 | |
HEC Token | 59f9bXXc-ae2f-43c1-8c93-4360XXXX3ef1 | |
认证机制 | 如果您在 Splunk 的 HEC 的配置中打开了 SSL 认证,请选择 SSL | SSL |
启用索引器确认 | Splunk 确认来自 HEC 的数据写入索引后,再处理下一批数据。如果您在 HEC 标记启用了索引器确认,请选择启用 | 启用 |
数据来源 | 日志生成的位置,如目录、网络端口、程序名称 | /var/log/syslog |
来源类型 | 日志数据格式/结构,决定了 Splunk 如何解析数据 | JSON、文本 |
写入索引名称 | 将数据写入该索引 | test_index |
自定义 URI | 目标投递的路径 | 固定为/services/collector/event |
连通性测试 | 需要进行连通性测试,成功后才可以进行投递 | 测试数据:hello world |
6. 在日志投递配置中,您需要在这里编辑哪些日志需要投递出去。
没有日志子类型的默认选择全部,无需操作。
存在日志子类型的产品,需要选择哪些日志子类要投递出去。
7. 单击确定后,回到详情页面,支持单个或者批量操作。
8. 您也可以在投递至 Splunk 页面修改投递的日志类型,但仅支持具有子类型的日志进行修改。
注意:
投递到 Splunk 必须要通过连通性测试,保证通路正常,否则无法投递。连通性测试时会发送一段测试数据到目标 Splunk 用于测试。
多账号场景说明
在多账号场景下,如果您使用管理员账号或被委派管理员账号登录,可以在日志投递模块为成员账号配置投递策略。与常规使用场景不同,您需要重点关注以下配置项:日志来源账号(指定要投递的日志所属账号)。
1. 登录 云安全中心控制台,在左侧导航中,单击日志分析。
2. 在日志分析页面,单击右上方的日志投递 > 投递至 Splunk。
3. 在投递至 Splunk 页面,配置日志来源账号。
日志来源账号:单击左上角的日志来源账号,选择所需成员,单击确定即可为当前成员账号的日志配置投递策略。
4. 日志投递的策略配置操作和常规场景一致。
