自定义接入安全云脑
通过UDP的方式采集ECS中的日志,将字符串解析成json格式(自定义解析),并将解析完的数据转出至安全云脑管道。接入后,可在“安全分析”页面进行查询,同时可基于解析后的日志进行威胁建模等。
前提条件
已获取登录控制台的IAM账号和密码。
步骤一:购买ECS
购买用于采集数据的弹性云服务器,详细操作请参见购买ECS。
- 数据采集的Agent目前仅支持运行在Linux系统x86_64架构的ECS主机上。ECS主机支持以下操作系统类型:Huawei Cloud EulerOS 2.5、Huawei Cloud EulerOS 2.9、EulerOS 2.5、EulerOS 2.9、CentOS 7.9。
图1 选择操作系统版本
- ECS购买后,系统将根据使用情况进行收费,具体收费情况请参见ECS计费说明。
后续如果不再使用数据采集功能,需要手动释放用于采集数据的ECS资源,详细操作请参见如何释放ECS和VPC终端节点资源?。
步骤二:安装Agent
Agent是维持安全云脑与ECS通信的客户端软件,具有命令下发,心跳数据上报的能力。
- 安装Agent前预检查。
- 登录管理控制台。
- 在页面左上角单击
,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。 - 在左侧导航栏选择,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
图4 进入目标工作空间管理页面
- 在左侧导航栏选择,默认进入节点管理页面。
图5 进入节点管理页面
- 在节点管理页面中,单击“新增”,页面右侧弹出新增节点页面。
- 在新增节点页面中,配置设备。
图6 新增节点
- 在网络通道配置栏中,选择网络通道所属的虚拟私有云和子网。
- 在网络通道列表中,单击通道“操作”列的“配置”,并在弹出的确认框中,单击“确认”。
VPC终端节点(用于连通和管理采集节点)配置后,系统将根据使用情况进行收费,具体收费情况请参见VPC终端节点计费说明。
后续如果不再使用数据采集功能,需要手动释放用于连通和管理采集节点的VPC终端节点,详细操作请参见如何释放ECS和VPC终端节点资源?。
- 单击页面右下角“下一步”,进入脚本安装验证页面后,单击
复制安装Agent的命令。 - 远程登录待安装Agent的ECS。
- 华为云主机
- 您可以登录弹性云服务器控制台,在“弹性云服务器”列表中,单击“远程登录”登录主机,详细操作请参见在云服务器控制台上登录主机。
- 如果您的主机已经绑定了弹性IP,您也可以使用远程管理工具(例如:PuTTY、Xshell等)登录主机,并使用root账号在主机中安装Agent。
- 华为云主机
- 执行cd /opt/cloud命令,进入安装目录。
安装路径建议为“/opt/cloud”,本章节也以此路径为例进行介绍。如需安装在其他自定义路径中,请根据路径修改。
- 粘贴8复制的安装命令,以root权限执行,在ECS中安装Agent。
- 根据界面提示,输入登录控制台的IAM账号和密码。
- 如果界面回显类似如下信息时,则表示Agent安装成功。
install isap-agent successfully
步骤三:新增节点
- 在左侧导航栏选择,默认进入节点管理页面。
图7 进入节点管理页面
- 在节点管理页面中,单击“新增”,页面右侧弹出新增节点页面。
- 在新增节点页面中,配置设备。
图8 新增节点
- 在网络通道配置栏中,选择网络通道所属的虚拟私有云和子网。
- 在网络通道列表中,单击通道“操作”列的“配置”,并在弹出的确认框中,单击“确认”。
- 单击页面右下角“下一步”,进入“脚本安装验证”页面。
- 确认已安装后,单击页面右下角“确认”。
步骤四:配置组件
Logstash是一个开源数据收集引擎,具有实时流水线功能,Logstash可以动态采集来自不同来源的数据,将其转换并输出到不同目的。
- 在左侧导航栏选择,进入节点管理页面后,选择“组件管理”页签,进入组件管理页面。
图9 进入组件管理页面
- 在组件管理页面中,单击待查看组件右上角“编辑配置”,右侧将弹出该组件的配置管理页面。
- 在节点配置栏中,单击节点列表左上角“添加”,并在弹出的“添加节点”框中选择节点后,单击“确认”。
- 单击页面右下角“保存并应用”。
步骤六:新增数据连接(来源、目的)
新增数据连接,包含数据来源、以及数据解析后转出位置。
- 在左侧导航栏选择,默认进入连接管理页面。
图10 进入采集管理页面
- 新增数据连接来源。
- 在“连接管理”页面中,单击“新增”,进入选择数据连接页面。
- 在“来源”页签中,选择数据源类型的来源“用户数据协议 Udp”,并配置UDP参数信息。
图11 数据源来源
表1 数据源来源 参数名称
参数说明
名称
自定义数据连接来源的名称。
描述
自定义数据连接来源的描述信息。
端口
设置需要采集的端口。
codec
设置编码格式,可设置为json或plain。
可选参数
自定义其他可选参数信息。
- 设置完成后,单击页面右下角“确认”。
- 新增数据源连接目的。
- 在采集管理页面选择“连接管理”页签,进入连接管理页面后,单击“新增”,进入选择数据连接页面。
- 选择“目的”页签中,选择数据源类型的目的“云脑管道 Pipe”,并配置管道信息。
图12 数据源接入目的地
表2 数据源接入的目的地 参数名称
参数说明
名称
自定义数据源目的名称。
描述
自定义数据源目的描述信息。
类型
此处选择“租户”。
管道
选择步骤五:(可选)新增管道创建的管道。
域账户
输入IAM域账号。
用户名
输入IAM用户名。
密码
输入IAM账号密码。
可选参数
自定义其他可选参数信息。
- 设置完成后,单击页面右下角“确认”。
步骤七:配置解析器
- 在左侧导航栏选择,进入采集管理页面后,选择“解析器管理”页签,进入解析器管理页面。
图13 进入解析器管理页面
- 在解析器管理页面中,单击“新增”,并在新增解析器页面中,进行参数配置新增采集通道。
- 名称:设置解析器名称。
- (可选)描述:输入解析器描述信息。
- 规则列表:设置解析器解析规则。单击“添加”,并选择规则:
- 条件控制:选择“if条件”,判断日志是否存在。
- 解析规则:选择“json解析”,将原始字段(message)移除。
图14 规则列表
- 设置完成后,单击页面右下角“确定”。
步骤八:新增采集通道
新增采集通道的目的在于将输入-解析-输出连接形成管道,并将管道下发至采集节点(安装Agent和Logstash的节点),完成此步骤后,整个数据接入转出真正开始运行。
- 在左侧导航栏选择,进入采集管理页面后,选择“采集通道管理”页签,进入采集通道管理页面。
图15 进入采集通道管理页面
- 新增分组。
- 在采集通道管理页面中,单击“分组列表”右侧的
。 - 输入分组名称,并单击
,完成新增。
- 在采集通道管理页面中,单击“分组列表”右侧的
- 在采集通道管理页面的分组列表右侧,单击“新增”,进入新增采集通道页面。
- 在“基础配置”页面中,配置基础信息。
表3 基础配置参数说明 参数名称
参数说明
基础信息
名称
自定义采集通道名称。
通道分组
选择2新增的分组。
(可选)描述
输入采集通道描述信息。
来源配置
源名称
选择步骤六:新增数据连接(来源、目的)新增的来源。
目的配置
目的名称
选择步骤六:新增数据连接(来源、目的)新增的目的地名称。
- 基础配置完成后,单击页面右下角“下一步”,进入“解析器配置”页面。
- 在“解析器配置”页面中,选择步骤七:配置解析器配置的解析器。
- 解析器配置完成后,单击页面右下角“下一步”,进入“运行节点选择”页面。
- 在“运行节点选择”页面中,单击“新增”,并在弹出的添加节点框中选择节点(安装了Agent和Logstash的节点)后,单击“确认”。
- 运行节点选择完成后,单击页面右下角“下一步”,进入“通道详情预览”页面。
- 在“通道详情预览”页面确认配置无误后,单击“确定”。
新增采集通道结束后,会对管道进行下发,刷新界面,当健康状态为“正常”,则下发完成。
步骤九:安全查询分析
由于将日志输出至安全云脑管道,因此可在安全云脑中查询。
- 在左侧导航栏选择“威胁运营 > 安全分析”,默认进入“安全分析”页面。
- 选择步骤五:(可选)新增管道的安全云脑管道,即可在安全云脑界面查看日志解析后的数据。
图16 安全查询分析
