功能背景
将接入云安全中心的多款产品日志集中并归一化后通过控制台投递至消息队列,便于存储数据或联合其它系统消费数据,助力挖掘日志数据价值,满足用户日志运维诉求。启用日志投递后,将采集到的日志投递至对应的消息队列。
应用场景
日志存储
根据《中华人民共和国网络安全法》、《信息安全等级保护管理办法》等相关法律法规的规定,企业需要对网络安全事件进行记录和存储,并且日志存储时长不少于6个月。这是为了保障企业的信息安全和网络安全,防止安全事件的发生和滋生。
离线分析
将日志投递至 Kafka/CLS 后,企业可以接入其他系统进行离线分析,进一步管控原始日志,协助企业对安全事件进行深入分析和研究,发现安全事件的根本原因和漏洞,提高安全事件的处理能力和水平。
日志投递至Kafka
在日志分析页面,您可配置云安全中心接入的不同日志类型分别投递到指定 Ckafka 实例的不同 Topic 中。
前提条件:
为了将日志投递至消息队列,需要先购买云安全中心旗舰版,并将相关产品的日志接入云安全中心。如果需要使用 Ckafka 公网域名或 Ckafka 支撑环境接入两种网络接入方式之一,需要先前往创建腾讯云消息队列 CKafka 实例。
Ckafka 公网域名接入
1. 登录 云安全中心控制台,在左侧导览中,单击日志分析。
2. 在日志分析页面,单击日志投递 > 投递至 kafka。
3. 在投递至 kafka页面,云安全中心自动获取账号的腾讯云消息队列 Ckafka 实例、已接入云安全中心的日志来源,选择 Ckafka 公网域名接入,配置相关参数。
参数名称 | 说明 |
网络接入方式 | Ckafka 公网域名接入。 |
TLS 加密 | 选择是否开启 TLS 加密。 |
消息队列所属账号 | 投递目标所属账号。 |
消息队列实例 | 云安全中心自动获取账号的腾讯云消息队列 Ckafka 实例、选择所需消息队列实例。 |
公网域名接入 | 选择所需公网域名。 |
用户名 | 请输入所选消息队列实例的用户名。 |
密码 | 请输入所选消息队列实例的密码。 |
日志来源 | 支持选择主机安全、云防火墙、Web 应用防火墙、云安全中心、DDoS 防护、SaaS 化堡垒机、云审计、网络蜜罐的日志。 |
日志类型 | 根据所选的日志来源不同则日志类型也有所不同。 |
Topic ID/名称 | 选择所需 Topic。 |
操作 | 新增:单击新增日志投递配置,支持新增多个日志来源。 删除:单击目标日志操作列的删除,经过二次确认后,支持删除该日志来源对应日志类型的日志投递任务。 编辑:如非首次配置日志投递,则支持在日志投递页面,单击修改配置,修改相关日志投递。 |
4. 确认无误后,单击确定,即可将采集到的日志投递至对应的消息队列。
5. 在日志投递页面,支持查看同步接入方式、接入对象、消息队列状态、用户名等消息队列详情,以及日志来源、日志类型、账号来源(多账号下)、Topic ID/名称、Topic 投递状态、投递开关等信息,允许修改消息队列、Topic 配置等信息,查看消息队列和各 Topic 状态。
Ckafka 支撑环境接入
1. 登录 云安全中心控制台,在左侧导览中,单击日志分析。
2. 在日志分析页面,单击日志投递 > 投递至 kafka。
3. 在投递至 kafka 页面,云安全中心自动获取账号的腾讯云消息队列 Ckafka 实例、已接入云安全中心的日志来源,选择 Ckafka 支撑环境接入,配置相关参数。
参数名称 | 说明 |
网络接入方式 | Ckafka 支撑环境接入。 |
TLS 加密 | 选择是否开启 TLS 加密。 |
消息队列所属账号 | 投递目标所属账号。 |
消息队列实例 | 云安全中心自动获取账号的腾讯云消息队列 Ckafka 实例、选择所需消息队列实例。 |
支撑环境接入 | 选择所需支撑环境。 |
日志来源 | 支持选择主机安全、云防火墙、Web 应用防火墙、云安全中心、DDoS 防护、SaaS 化堡垒机、云审计、网络蜜罐的日志。 |
日志类型 | 根据所选的日志来源不同则日志类型也有所不同。 |
Topic ID/名称 | 选择所需 Topic。 |
操作 | 新增:单击新增日志投递配置,支持新增多个日志来源。 删除:单击目标日志操作列的删除,经过二次确认后,支持删除该日志来源对应日志类型的日志投递任务。 编辑:如非首次配置日志投递,则支持在日志投递页面,单击修改配置,修改相关日志投递。 |
4. 确认无误后,单击确定,即可将采集到的日志投递至对应的消息队列。
5. 在日志投递页面,支持查看同步接入方式、接入对象、消息队列状态、用户名等消息队列详情,以及日志来源、日志类型、账号来源(多账号下)、Topic ID/名称、Topic 投递状态、投递开关等信息,允许修改消息队列、Topic 配置等信息,查看消息队列和各 Topic 状态。
其他 Kafka 公网接入
1. 登录 云安全中心控制台,在左侧导览中,单击日志分析。
2. 在日志分析页面,单击日志投递 > 投递至 kafka。
3. 在投递至 kafka 页面,选择其他 Kafka 公网接入,配置相关参数。
参数名称 | 说明 |
网络接入方式 | 其他 Kafka 公网接入。 |
TLS 加密 | 选择是否开启 TLS 加密。 |
公网接入 | 根据实际需求填写公网信息。 |
用户名 | 请输入所选消息队列实例的用户名。 |
密码 | 请输入所选消息队列实例的密码。 |
日志来源 | 支持选择主机安全、云防火墙、Web 应用防火墙、云安全中心、DDoS 防护、SaaS 化堡垒机、云审计、网络蜜罐的日志。 |
日志类型 | 根据所选的日志来源不同则日志类型也有所不同。 |
Topic 名称 | 输入所需 Topic 名称。 |
操作 | 新增:单击新增日志投递配置,支持新增多个日志来源。 删除:单击目标日志操作列的删除,经过二次确认后,支持删除该日志来源对应日志类型的日志投递任务。 编辑:如非首次配置日志投递,则支持在日志投递页面,单击修改配置,修改相关日志投递。 |
4. 确认无误后,单击确定,即可将采集到的日志投递至对应的消息队列。
5. 在日志投递页面,支持查看同步接入方式、接入对象、消息队列状态、用户名等消息队列详情,以及日志来源、日志类型、账号来源(多账号下)、Topic 名称、Topic 投递状态、投递开关等信息,并且允许修改消息队列、Topic 配置等信息。
日志投递至 CLS
1. 单击左上角的日志投递,打开日志投递配置弹窗,首次若未开通 CLS 服务,须先单击 前往授权,同意服务授权且创建服务角色后才可进行更多日志投递配置。
说明:
云安全中心支持将日志投递到CLS,实现日志采集、日志存储到日志检索等全方位的日志服务。当前账号授权访问CLS服务和开启日志投递到CLS后,将为您自动 在CLS服务中创建后付费的存储空间,同时也会生成后付费账单。详情请参见 CLS计费详情。
2. 完成上述授权后,可对要进行投递的日志配置不同的日志主题(不进行投递的日志类型,可以不进行配置)。
参数名称 | 说明 |
投递所属账号 | 投递目标所属账号。 |
日志来源 | 支持选择主机安全、云防火墙、Web 应用防火墙、云安全中心、DDoS 防护、SaaS 化堡垒机、云审计、网络蜜罐的日志。 |
日志类型 | 根据所选的日志来源不同则日志类型也有所不同。 |
日志来源账号 | 选择的日志源对应的多账号名称。 |
目标地域 | 请输入将要投递的目标地域。 |
日志集操作 | 选择投递至已有日志集还是新建日志集进行投递。 |
日志集 | 输入新建日志集名称/选择已有日志集。 |
日志主题操作 | 选择投递至已有日志主题还是新建日志主题进行投递。CLS 仅支持投递到在云安全中心创建的日志主题。 |
日志主题 | 输入新建日志主题名称/选择已有日志主题。 |
3. 确认无误后,单击确定,即可将采集到的日志投递至对应的日志主题。
4. 在日志投递页面,支持查看账号名称/ID、所属部门,以及日志来源、日志类型、来源账号(多账号下)、日志主题、投递状态、投递开关等信息,并且允许编辑已投递任务、(批量)删除任务、(批量)开启/关闭任务、(批量)刷新、日志检索。
投递及被投递对象
多账号管理
1. 登录 云安全中心控制台,在左侧导览中,单击日志分析。
2. 在日志分析页面,单击右上角的多账号管理。
3. 在多账号管理页面,选择所需账号,单击确定。
场景说明 | 未配置 | 配置完成 |
管理员/委派管理员将全部账号多产品日志统一投递到同一个 Kafka 中。 | 右上角选中全部账号后配置日志投递,在 Ckafka 公网域名接入、Ckafka 支撑环境接入两种网络接入方式下将自动获取管理员的 Ckafka,可选所需腾讯云消息队列。 | 展示管理员的消息队列状态、用户信息等消息队列详情,同步已配置的日志来源、日志类型、账号来源、投递状态等日志投递详情。 |
管理员/委派管理员管理其他账号日志,即配置其他账号多产品日志投递。 | 右上角选中其他账号后配置日志投递,在 Ckafka 公网域名接入、Ckafka 支撑环境接入两种网络接入方式下将自动获取其他账号的 Ckafka,可选所需腾讯云消息队列。 | 展示其他账号的消息队列状态、用户信息等消息队列详情,同步已配置的日志来源、日志类型、投递状态等日志投递详情。 |
管理员/委派管理员管理当前账号(管理员/委派管理员)日志,即配置当前账号多产品日志投递。 | 右上角选中当前账号(管理员/委派管理员)后配置日志投递,在 Ckafka 公网域名接入、Ckafka 支撑环境接入两种网络接入方式下将自动获取当前账号(管理员/委派管理员)的 Ckafka,可选所需腾讯云消息队列。 | 展示当前账号(管理员/委派管理员)的消息队列状态、用户信息等消息队列详情,同步已配置的日志来源、日志类型、投递状态等日志投递详情。 |
单账号管理
仅支持对当前账号进行多产品日志投递。
未配置:在配置日志投递,在 Ckafka 公网域名接入、Ckafka 支撑环境接入两种网络接入方式下将自动获取当前账号的 Ckafka,可选所需腾讯云消息队列。
注意:
若当前账号被管理员/委派管理员管理,则管理员/委派管理员可能编辑当前账号的日志投递配置。
配置完成:展示当前账号的消息队列状态、用户信息等消息队列详情,同步已配置的日志来源、日志类型、投递状态等日志投递详情。
常见问题
日志投递如何收费?
公网日志投递出口 IP 白名单
106.55.200.0/24106.55.201.0/24106.55.202.0/2481.71.5.0/24134.175.239.0/24193.112.130.0/24193.112.164.0/24193.112.221.0/24111.230.173.0/24111.230.181.0/24129.204.232.0/24193.112.129.0/24193.112.153.0/24106.52.11.0/24106.55.52.0/24118.89.20.0/24193.112.32.0/24193.112.60.0/24106.52.106.0/24106.52.67.0/24106.55.254.0/2442.194.128.0/2442.194.133.0/24106.52.69.0/24118.89.64.0/24129.204.249.0/24182.254.171.0/24193.112.170.0/24106.55.207.0/24119.28.101.0/24150.109.12.0/24
日志投递支持哪些产品哪些日志类型?
产品 | 日志类型 | 日志类型 |
云防火墙 | 访问控制日志 | 云防火墙基于用户在互联网边界防火墙、NAT 边界防火墙、VPC 间防火墙和企业安全组间配置的访问控制规则所生成的规则命中记录日志。 |
| 零信任防护日志 | 云防火墙中用户远程运维登录、Web 服务访问、数据库访问三个模块的零信任防护日志,包括登录与访问服务详情。 |
| 入侵防御日志 | 云防火墙基于“观察模式”和“拦截模式”所产生和记录的所有安全事件,有“外部入侵,主机失陷,横向移动,网络蜜罐”四个列表,分别查看入站和出站的安全事件详细情况。 |
| 流量日志 | 云防火墙中互联网边界防火墙和 NAT 边界防火墙基于出站和入站所产生的南北向流量以及 VPC 间的东西向流量情况。 |
| 操作日志 | 云防火墙中基于该账号内,用户针对安全策略以及开关页所进行的所有操作行为以及操作详情。 |
Web 应用防火墙 | 攻击日志 | Web 应用防火墙提供攻击日志,记录攻击产生的时间、攻击源 IP、攻击类型及攻击详情等信息。 |
| 访问日志 | Web 应用防火墙防护记录域名的访问日志信息。 |
主机安全 | 入侵检测日志 | 主机安全提供木马、高危命令、本地提权及所有登录行为事件等多维度入侵检测的安全日志。 |
| 漏洞管理日志 | 主机安全中漏洞安全事件详细情况的安全日志。 |
| 高级防御日志 | 主机安全中基于Java 内存马、攻击检测等高级防御的日志。 |
| 客户端相关日志 | 主机安全检测到客户端异常离线且长达24小时以上未重新上线、客户端被卸载(仅针对 Linux 系统的服务器)的日志。 |
