功能背景
将接入云安全中心的多款产品日志集中并归一化后通过控制台投递至消息队列,便于存储数据或联合其它系统消费数据,助力挖掘日志数据价值,满足用户日志运维诉求。启用日志投递后,将采集到的日志投递至对应的消息队列。
应用场景
日志存储
根据《中华人民共和国网络安全法》、《信息安全等级保护管理办法》等相关法律法规的规定,企业需要对网络安全事件进行记录和存储,并且日志存储时长不少于6个月。这是为了保障企业的信息安全和网络安全,防止安全事件的发生和滋生。
离线分析
将日志投递至 Kafka 后,企业可以接入其他系统进行离线分析,进一步管控原始日志,协助企业对安全事件进行深入分析和研究,发现安全事件的根本原因和漏洞,提高安全事件的处理能力和水平。
前提条件
为了将日志投递至消息队列,需要先购买云安全中心旗舰版,并将相关产品的日志接入云安全中心。如果需要使用 Ckafka 公网域名或 Ckafka 支撑环境接入两种网络接入方式之一,需要先 前往创建腾讯云消息队列 CKafka 实例。
网络接入方式
Ckafka 公网域名接入:通过公网接入腾讯云消息队列 Ckafka 进行日志投递。
Ckafka 支撑环境接入:通过腾讯云内网接入腾讯云消息队列 Ckafka 进行日志投递,性能更高。
其他 Kafka 公网接入:通过公网接入非腾讯云消息队列 Ckafka 进行日志投递。
Ckafka 公网域名接入
1. 登录 云安全中心控制台,在左侧导览中,单击日志审计。
2. 在日志审计页面,单击日志投递。
3. 在日志投递页面,云安全中心自动获取账号的腾讯云消息队列 Ckafka 实例、已接入云安全中心的日志来源,选择 Ckafka 公网域名接入,配置相关参数。
参数名称 | 说明 |
网络接入方式 | Ckafka 公网域名接入。 |
消息队列实例 | 云安全中心自动获取账号的腾讯云消息队列 Ckafka 实例、选择所需消息队列实例。 |
公网域名接入 | 选择所需公网域名。 |
用户名 | 请输入所选消息队列实例的用户名。 |
密码 | 请输入所选消息队列实例的密码。 |
日志来源 | 支持选择主机安全、云防火墙、Web 应用防火墙。 |
日志类型 | 根据所选的日志来源不同则日志类型也有所不同。 |
Topic ID/名称 | 选择所需 Topic。 |
操作 | 新增:单击新增日志投递配置,支持新增多个日志来源。 删除:单击目标日志操作列的删除,经过二次确认后,支持删除该日志来源对应日志类型的日志投递任务。 编辑:如非首次配置日志投递,则支持在日志投递页面,单击修改配置,修改相关日志投递。 |
4. 确认无误后,单击确定,即可将采集到的日志投递至对应的消息队列。
5. 在日志投递页面,支持查看同步接入方式、接入对象、消息队列状态、用户名等消息队列详情,以及日志来源、日志类型、账号来源(多账号下)、Topic ID/名称、Topic 投递状态、投递开关等信息,允许修改消息队列、Topic 配置等信息,查看消息队列和各 Topic 状态。
Ckafka 支撑环境接入
1. 登录 云安全中心控制台,在左侧导览中,单击日志审计。
2. 在日志审计页面,单击日志投递。
3. 在日志投递页面,云安全中心自动获取账号的腾讯云消息队列 Ckafka 实例、已接入云安全中心的日志来源,选择 Ckafka 支撑环境接入,配置相关参数。
参数名称 | 说明 |
网络接入方式 | Ckafka 支撑环境接入。 |
消息队列实例 | 云安全中心自动获取账号的腾讯云消息队列 Ckafka 实例、选择所需消息队列实例。 |
支撑环境接入 | 选择所需支撑环境。 |
日志来源 | 支持选择主机安全、云防火墙、Web 应用防火墙。 |
日志类型 | 根据所选的日志来源不同则日志类型也有所不同。 |
Topic ID/名称 | 选择所需 Topic。 |
操作 | 新增:单击新增日志投递配置,支持新增多个日志来源。 删除:单击目标日志操作列的删除,经过二次确认后,支持删除该日志来源对应日志类型的日志投递任务。 编辑:如非首次配置日志投递,则支持在日志投递页面,单击修改配置,修改相关日志投递。 |
4. 确认无误后,单击确定,即可将采集到的日志投递至对应的消息队列。
5. 在日志投递页面,支持查看同步接入方式、接入对象、消息队列状态、用户名等消息队列详情,以及日志来源、日志类型、账号来源(多账号下)、Topic ID/名称、Topic 投递状态、投递开关等信息,允许修改消息队列、Topic 配置等信息,查看消息队列和各 Topic 状态。
其他 Kafka 公网接入
1. 登录 云安全中心控制台,在左侧导览中,单击日志审计。
2. 在日志审计页面,单击日志投递。
3. 在日志投递页面,选择其他 Kafka 公网接入,配置相关参数。
参数名称 | 说明 |
网络接入方式 | 其他 Kafka 公网接入。 |
公网接入 | 根据实际需求填写公网信息。 |
用户名 | 请输入所选消息队列实例的用户名。 |
密码 | 请输入所选消息队列实例的密码。 |
日志来源 | 支持选择主机安全、云防火墙、Web 应用防火墙。 |
日志类型 | 根据所选的日志来源不同则日志类型也有所不同。 |
Topic 名称 | 输入所需 Topic 名称。 |
操作 | 新增:单击新增日志投递配置,支持新增多个日志来源。 删除:单击目标日志操作列的删除,经过二次确认后,支持删除该日志来源对应日志类型的日志投递任务。 编辑:如非首次配置日志投递,则支持在日志投递页面,单击修改配置,修改相关日志投递。 |
4. 确认无误后,单击确定,即可将采集到的日志投递至对应的消息队列。
5. 在日志投递页面,支持查看同步接入方式、接入对象、消息队列状态、用户名等消息队列详情,以及日志来源、日志类型、账号来源(多账号下)、Topic 名称、Topic 投递状态、投递开关等信息,并且允许修改消息队列、Topic 配置等信息。
投递及被投递对象
多账号管理
1. 登录 云安全中心控制台,在左侧导览中,单击日志审计。
2. 在日志审计页面,单击右上角的多账号管理。
3. 在多账号管理页面,选择所需账号,单击确定。
场景说明 | 未配置 | 配置完成 |
管理员/委派管理员将全部账号多产品日志统一投递到同一个 Kafka 中。 | 右上角选中全部账号后配置日志投递,在 Ckafka 公网域名接入、Ckafka 支撑环境接入两种网络接入方式下将自动获取管理员的 Ckafka,可选所需腾讯云消息队列。 | 展示管理员的消息队列状态、用户信息等消息队列详情,同步已配置的日志来源、日志类型、账号来源、投递状态等日志投递详情。 |
管理员/委派管理员管理其他账号日志,即配置其他账号多产品日志投递。 | 右上角选中其他账号后配置日志投递,在 Ckafka 公网域名接入、Ckafka 支撑环境接入两种网络接入方式下将自动获取其他账号的 Ckafka,可选所需腾讯云消息队列。 | 展示其他账号的消息队列状态、用户信息等消息队列详情,同步已配置的日志来源、日志类型、投递状态等日志投递详情。 |
管理员/委派管理员管理当前账号(管理员/委派管理员)日志,即配置当前账号多产品日志投递。 | 右上角选中当前账号(管理员/委派管理员)后配置日志投递,在 Ckafka 公网域名接入、Ckafka 支撑环境接入两种网络接入方式下将自动获取当前账号(管理员/委派管理员)的 Ckafka,可选所需腾讯云消息队列。 | 展示当前账号(管理员/委派管理员)的消息队列状态、用户信息等消息队列详情,同步已配置的日志来源、日志类型、投递状态等日志投递详情。 |
单账号管理
仅支持对当前账号进行多产品日志投递。
未配置:在配置日志投递,在 Ckafka 公网域名接入、Ckafka 支撑环境接入两种网络接入方式下将自动获取当前账号的 Ckafka,可选所需腾讯云消息队列。
注意:
若当前账号被管理员/委派管理员管理,则管理员/委派管理员可能编辑当前账号的日志投递配置。
配置完成:展示当前账号的消息队列状态、用户信息等消息队列详情,同步已配置的日志来源、日志类型、投递状态等日志投递详情。
常见问题
日志投递如何收费?
公网日志投递出口 IP 白名单
106.55.200.0/24106.55.201.0/24106.55.202.0/2481.71.5.0/24134.175.239.0/24193.112.130.0/24193.112.164.0/24193.112.221.0/24111.230.173.0/24111.230.181.0/24129.204.232.0/24193.112.129.0/24193.112.153.0/24106.52.11.0/24106.55.52.0/24118.89.20.0/24193.112.32.0/24193.112.60.0/24106.52.106.0/24106.52.67.0/24106.55.254.0/2442.194.128.0/2442.194.133.0/24106.52.69.0/24118.89.64.0/24129.204.249.0/24182.254.171.0/24193.112.170.0/24106.55.207.0/24119.28.101.0/24150.109.12.0/24
日志投递支持哪些产品哪些日志类型?
产品 | 日志类型 | 日志类型 |
云防火墙 | 访问控制日志 | 云防火墙基于用户在互联网边界防火墙、NAT 边界防火墙、VPC 间防火墙和企业安全组间配置的访问控制规则所生成的规则命中记录日志。 |
| 零信任防护日志 | 云防火墙中用户远程运维登录、Web 服务访问、数据库访问三个模块的零信任防护日志,包括登录与访问服务详情。 |
| 入侵防御日志 | 云防火墙基于“观察模式”和“拦截模式”所产生和记录的所有安全事件,有“外部入侵,主机失陷,横向移动,网络蜜罐”四个列表,分别查看入站和出站的安全事件详细情况。 |
| 流量日志 | 云防火墙中互联网边界防火墙和 NAT 边界防火墙基于出站和入站所产生的南北向流量以及 VPC 间的东西向流量情况。 |
| 操作日志 | 云防火墙中基于该账号内,用户针对安全策略以及开关页所进行的所有操作行为以及操作详情。 |
Web 应用防火墙 | 攻击日志 | Web 应用防火墙提供攻击日志,记录攻击产生的时间、攻击源 IP、攻击类型及攻击详情等信息。 |
| 访问日志 | Web 应用防火墙防护记录域名的访问日志信息。 |
主机安全 | 入侵检测日志 | 主机安全提供木马、高危命令、本地提权及所有登录行为事件等多维度入侵检测的安全日志。 |
| 漏洞管理日志 | 主机安全中漏洞安全事件详细情况的安全日志。 |
| 高级防御日志 | 主机安全中基于Java 内存马、攻击检测等高级防御的日志。 |
| 客户端相关日志 | 主机安全检测到客户端异常离线且长达24小时以上未重新上线、客户端被卸载(仅针对 Linux 系统的服务器)的日志。 |