步骤九:配置连接器
本章节将介绍如何配置日志来源、接收目的的参数信息。请根据场景选择操作步骤:
将第三方日志接入安全云脑
- 登录安全云脑 SecMaster控制台。
- 在左侧导航栏选择,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。 图1 进入目标工作空间管理页面
- 在左侧导航栏选择,默认进入连接管理页面。 图2 连接管理页面
- 新增数据连接来源。
- 在“连接管理”页面中,单击“新增”,默认进入选择数据连接来源页面。
- 配置数据连接来源参数。 图3 来源
此处以日志数据来源类型为UDP、TCP为例进行介绍,更多连接类型介绍请参见连接器规则说明。
- 连接类型 UDP
表1 日志来源 参数名称
配置说明
连接方式
选择“来源”。
连接类型
选择“用户数据协议(Udp)”。
名称
自定义设置数据连接来源名称。
描述
自定义设置数据来源描述信息。
端口
保持缺省值即可。
解码类型
保持缺省值即可。
高级设置
无需配置。
- 连接类型 TCP
表2 日志来源 参数名称
配置说明
连接方式
选择“来源”。
连接类型
选择“传输控制协议(Tcp)”。
名称
自定义设置数据连接来源名称。
描述
自定义设置数据来源描述信息。
端口
保持缺省值即可,未与其他来源使用的端口号重复即可。
解码类型
如果原始日志格式不是Json,则建议选择Plain。
报文标签
无需配置。
- 连接类型 UDP
- 设置完成后,单击页面右下角“确认”。
- 新增数据连接目的。
- 在“连接管理”页面中,单击“新增”,进入选择数据连接页面。
- 配置数据连接目的参数。 图4 目的
表3 日志目的 参数名称
配置说明
连接方式
选择“目的”。
连接类型
选择“云脑管道(Pipe)”。
名称
自定义设置数据连接目的名称。
描述
自定义设置日志数据目的描述信息。
类型
自定义设置日志目的类型。
管道
选择(可选)步骤八:创建日志存储管道创建的管道。
域账户
输入当前登录Console的IAM账号的域账户信息。
用户名
输入当前登录Console的IAM账号的用户信息。
密码
输入当前登录Console的IAM账号的密码。
高级设置
无需配置。
- 设置完成后,单击页面右下角“确认”。
将安全云脑日志转出至第三方系统或产品
- 登录安全云脑 SecMaster控制台。
- 在左侧导航栏选择,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。 图5 进入目标工作空间管理页面
- 在左侧导航栏选择,默认进入连接管理页面。 图6 连接管理页面
- 新增数据连接来源。
- 在“连接管理”页面中,单击“新增”,进入选择数据连接页面。
- 配置数据连接来源参数。
表4 日志来源 参数名称
配置说明
连接方式
选择“来源”。
连接类型
选择“云脑管道(Pipe)”。
名称
自定义设置数据连接目的名称。
命名规则如下:
- 名称长度取值范围为5-128个字符。
- 名称需为工作空间内唯一,不能与工作空间内的其他连接器名称相同。
描述
自定义设置日志数据目的描述信息。
命名规则如下:
- 名称长度不超过256个字符。
类型
自定义设置日志目的类型。推荐配置为“ECS委托”。
当租户期望通过ECS委托方式获取Token凭证场景,可选择该配置,租户账号或密码发生变更时不影响数据采集功能。在使用ECS委托前需要管理员在IAM新建iasp-agent委托并授权,以及在在ECS上完成委托设置。
管道
选择(可选)步骤八:创建日志存储管道创建的管道。
订阅类型
订阅类型,保持默认值即可。
- Shared:共享模式。
- Exclusive:独占模式。
- Failover:灾备模式。
订阅初始位置
订阅初始位置,保持默认值即可。
- Latest:从流表对应的topic的最新位置开始消费。
- Earliest:从流表对应的topic的起始位置开始消费。
- 设置完成后,单击页面右下角“确认”。
- 新增数据连接目的。
在“连接管理”页面中,单击“新增”,并配置数据连接目的参数。
请根据实际情况进行填写,更多连接类型介绍请参见连接器规则说明。
管理员在IAM新建isap-agent委托并授权
- 管理员登录统一身份认证服务 IAM管理控制台,单击左侧导航栏“委托”,进入委托页面。
- 在委托页面,单击页面右上角“创建委托”,在创建委托页面配置如下参数:
- 委托名称:填写“isap-agent”。
- 委托类型:选择“云服务”。
- 云服务:下拉选择“ECS BMS”。
- 持续时间:选择“永久”。
- 描述:用户自定义描述信息,可选填写参数。
- 配置授权,需要区分IAM3.0和IAM5.0场景。
IAM3.0(即IAM3)场景:在委托页面,参数配置完成,单击页面右下角“完成”,在弹出的“创建成功”的确认框中单击“立即授权”,进入授权页面。
IAM5.0(即IAM5)场景:在委托页面,参数配置完成,单击页面右下角“完成”,在弹出的“创建成功”的确认框中单击“暂不授权”。并单击委托页面右上角“体验新版控制台”,进入IAM5身份策略页面。
- 自定义身份策略,需要区分IAM3.0和IAM5.0场景。 IAM3.0(即IAM3)场景:在授权页面,单击页面右上角“新建策略”,在新建策略页面配置如下参数:
- 策略名称:建议命名为“isap-agent-strategy”。
- 策略配置方式:选择“JSON视图”。
- 策略内容,复制如下内容替换当前页面中的内容:
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "secmaster:workspace:get", "secmaster:node:create", "secmaster:node:monitor", "secmaster:node:taskQueueDetail" , "secmaster:node:updateTaskNodeStatus" ] } ] } - 策略描述:建议补充说明isap-agent的访问接口action策略授权。
IAM5.0(即IAM5)场景:在身份策略页面,单击页面右上角“创建自定义身份策略”,在新建策略页面配置如下参数:
- 策略名称:建议命名为“isap-agent-strategy”。
- 策略配置方式:选择“JSON视图”。
- 策略内容,复制如下内容替换当前页面中的内容:
{ "Version": "5.0", "Statement": [ { "Effect": "Allow", "Action": [ "secmaster:workspace:get", "secmaster:node:create", "secmaster:node:monitor", "secmaster:node:taskQueueDetail", "secmaster:node:updateTaskNodeStatus" ] } ] } - 策略描述:建议补充说明isap-agent的访问接口action策略授权。
- 参数配置完成后,单击页面右下角“下一步”,在弹出的确认框中单击“确定”。
- 在策略列表页面勾选已创建的策略“isap-agent-strategy”,单击下一步,设置最小授权范围,此处勾选“所有资源”,单击页面右下角“确定”。
- 弹出“授权成功”提示页面,单击“完成”,完成新建isap-agent委托和授权。
在ECS上完成委托设置
- 登录云服务器控制台,在左侧导航栏选择“弹性云服务器”,找到用于安装组件控制器(isap-agent)的ECS,单击ECS名称,进入ECS详情页。
- 在ECS详情页“基本信息”页面的管理信息模块,单击“委托”参数后的
按钮,下拉选择管理员在IAM新建isap-agent委托并授权创建的“isap-agent”委托并单击
,完成ECS委托设置。
