快速接入安全云脑
本部分介绍通过UDP的方式采集ECS中的日志,再使用采集管理中提供的默认解析器配置进行日志解析,并将解析完的数据接入到安全云脑管道。接入后,可在“安全分析”页面进行查询。
前提条件
已获取登录控制台的IAM账号和密码。
步骤一:购买ECS
购买弹性云服务器详细操作请参见购买ECS。
数据采集的Agent目前仅支持运行在Linux系统x86_64架构的ECS主机上。ECS主机支持以下操作系统类型:Huawei Cloud EulerOS 2.5、Huawei Cloud EulerOS 2.9、EulerOS 2.5、EulerOS 2.9、CentOS 7.9。
步骤二:安装Agent
Agent是维持安全云脑与ECS通信的客户端软件,具有命令下发,心跳数据上报的能力。
- 安装Agent前预检查。
- 登录管理控制台。
- 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
- 在左侧导航栏选择图4 进入目标工作空间管理页面
,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
- 在左侧导航栏选择图5 进入节点管理页面
,默认进入节点管理页面。
- 在节点管理页面中,单击“新增”,页面右侧弹出新增节点页面。
- 在新增节点页面中,配置设备。
图6 新增节点
- 在网络通道配置栏中,选择网络通道所属的虚拟私有云和子网。
- 在网络通道列表中,单击通道“操作”列的“配置”,并在弹出的确认框中,单击“确认”。
- 单击页面右下角“下一步”,进入脚本安装验证页面后,单击复制安装Agent的命令。
- 远程登录待安装Agent的ECS。
- 华为云主机
- 您可以登录弹性云服务器控制台,在“弹性云服务器”列表中,单击“远程登录”登录主机,详细操作请参见在云服务器控制台上登录主机。
- 若您的主机已经绑定了弹性IP,您也可以使用远程管理工具(例如:PuTTY、Xshell等)登录主机,并使用root账号在主机中安装Agent。
- 非华为云主机
请使用远程管理工具(例如:PuTTY、Xshell等)连接您服务器的弹性IP,远程登录到您的服务器。
- 华为云主机
- 执行cd /opt/cloud命令,进入安装目录。
安装路径建议为“/opt/cloud”,本章节也以此路径为例进行介绍。如需安装在其他自定义路径中,请根据路径修改。
- 粘贴复制的8复制的安装命令,以root权限执行,在ECS中安装Agent。
- 根据界面提示,输入登录控制台的IAM账号和密码。
- 若界面回显类似如下信息时,则表示Agent安装成功。
install isap-agent successfully
步骤三:新增节点
- 在左侧导航栏选择图7 进入节点管理页面
,默认进入节点管理页面。
- 在节点管理页面中,单击“新增”,页面右侧弹出新增节点页面。
- 在新增节点页面中,配置设备。
图8 新增节点
- 在网络通道配置栏中,选择网络通道所属的虚拟私有云和子网。
- 在网络通道列表中,单击通道“操作”列的“配置”,并在弹出的确认框中,单击“确认”。
- 单击页面右下角“下一步”,进入“脚本安装验证”页面。
- 确认已安装后,单击页面右下角“确认”。
步骤四:配置组件
Logstash是一个开源数据收集引擎,具有实时流水线功能,Logstash可以动态采集来自不同来源的数据,将其转换并输出到不同目的。
- 在左侧导航栏选择“组件管理”页签,进入组件管理页面。
图9 进入组件管理页面
,进入节点管理页面后,选择 - 在组件管理页面中,单击待查看组件右上角“编辑配置”,右侧将弹出该组件的配置管理页面。
- 在节点配置栏中,单击节点列表左上角“添加”,并在弹出的“添加节点”框中选择节点后,单击“确认”。
- 单击页面右下角“保存并应用”。
步骤六:新增数据连接(来源、目的)
新增数据连接,包含数据来源、以及数据解析后转出位置。
- 在左侧导航栏选择图10 进入采集管理页面
,默认进入连接管理页面。
- 新增数据连接来源。
- 在“连接管理”页面中,单击“新增”,进入选择数据连接页面。
- 在“来源”页签中,选择数据源类型的来源“用户数据协议 Udp”,并配置UDP参数信息。
图11 数据源来源
表1 数据源来源 参数名称
参数说明
名称
自定义数据连接来源的名称。
描述
自定义数据连接来源的描述信息。
端口
设置需要采集的端口。
codec
设置编码格式,可设置为json或plain。
可选参数
自定义其他可选参数信息。
- 设置完成后,单击页面右下角“确认”。
- 新增数据源连接目的。
- 在采集管理页面选择“连接管理”页签,进入连接管理页面后,单击“新增”,进入选择数据连接页面。
- 选择“目的”页签中,选择数据源类型的目的“云脑管道 Pipe”,并配置管道信息。
图12 数据源接入目的地
表2 数据源接入的目的地 参数名称
参数说明
名称
自定义数据源目的名称。
描述
自定义数据源目的描述信息。
类型
此处选择“租户”。
管道
选择步骤五:(可选)新增管道创建的管道名称。
域账户
输入IAM域账号。
用户名
输入IAM用户名。
密码
输入IAM账号密码。
可选参数
自定义其他可选参数信息。
- 设置完成后,单击页面右下角“确认”。
步骤七:新增采集通道
新增采集通道的目的在于将输入-解析-输出连接形成管道,并将管道下发至采集节点(安装Agent和Logstash的节点),完成此步骤后,整个数据接入转出真正开始运行。
- 在左侧导航栏选择“采集通道管理”页签,进入采集通道管理页面。
图13 进入采集通道管理页面
,进入采集管理页面后,选择 - 新增分组。
- 在采集通道管理页面中,单击“分组列表”右侧的。
- 输入分组名称,并单击,完成新增。
- 在采集通道管理页面的分组列表右侧,单击“新增”,进入新增采集通道页面。
- 在“基础配置”页面中,配置基础信息。
表3 基础配置参数说明 参数名称
参数说明
基础信息
名称
自定义采集通道名称。
通道分组
选择2新增的分组。
(可选)描述
输入采集通道描述信息。
来源配置
源名称
选择步骤六:新增数据连接(来源、目的)新增的来源。
目的
目的名称
选择步骤六:新增数据连接(来源、目的)新增的目的。
- 基础配置完成后,单击页面右下角“下一步”,进入“解析器配置”页面。
- 在“解析器配置”页面中,选择“快速接入”。
快速接入即会将原始日志全部放入message字段。
- 解析器配置完成后,单击页面右下角“下一步”,进入“运行节点选择”页面。
- 在“运行节点选择”页面中,单击“新增”,并在弹出的添加节点框中选择节点(安装了Agent和Logstash的节点)后,单击“确认”。
- 运行节点选择完成后,单击页面右下角“下一步”,进入“通道详情预览”页面。
- 在“通道详情预览”页面确认配置无误后,单击“确定”。
新增采集通道结束后,会对管道进行下发,刷新界面,当健康状态为“正常”,则下发完成。
步骤八:安全查询分析
由于将日志输出至安全云脑管道,因此可在安全云脑中查询。
- 在左侧导航栏选择“威胁运营 > 安全分析”,默认进入“安全分析”页面。
- 选择步骤五:(可选)新增管道的安全云脑管道,即可在安全云脑界面查看日志解析后的数据。
图14 安全查询分析