Windows配置日志接入安全云脑
本章节介绍如何将Windows配置日志接入安全云脑。
Windows无法直接进行日志转发,安全云脑使用一个轻量级的日志采集器Filebeat,将Windows配置日志发送到节点和对应UDP方式监控端口上,再使用采集管理中提供的系统日志解析器配置进行日志解析,并将解析完的数据接入到安全云脑管道。接入后,可在页面进行查询。
|
操作步骤 |
操作说明 |
|---|---|
|
(可选)步骤1:购买ECS |
购买ECS,用于安装日志采集器。 |
|
(可选)步骤2:购买数据磁盘 |
购买数据磁盘,保障日志采集器有足够的运行空间,数据磁盘和ECS属于同一可用区,且数据磁盘容量 ≥ 100 GB。 |
|
(可选)步骤3:挂载数据磁盘 |
将符合条件的数据磁盘挂载在已有的符合条件的ECS上,保障日志采集器有足够的运行空间。 |
|
步骤4:创建非管理员IAM账户 |
创建非管理员IAM账号和密码,用于租户侧日志采集器登录访问安全云脑。 |
|
步骤5:网络连通配置 |
采集数据前,需要进行网络连通配置,以便实现租户VPC与安全云脑的网络连通。 |
|
纳管日志采集器节点(ECS)到安全云脑。 |
|
|
配置日志采集进程。 |
|
|
步骤8:创建日志存储管道 |
在安全云脑中创建日志存储位置(管道),用于日志存储、分析。 |
|
步骤9:配置连接器 |
配置日志来源、接收目的参数信息。 |
|
步骤10:配置日志采集通道 |
完成各功能组件连接,实现安全云脑和日志采集器正常工作。 |
|
步骤11:配置Windows日志转发 |
通过Filebeat服务进行远程日志采集。 |
|
步骤12:安全查询与分析 |
将日志接入安全云脑管道后可在安全云脑中查询。 |
约束与限制
- 数据采集的组件控制器仅支持运行在Linux系统X86和ARM架构的ECS主机上。
- 安装组件控制器时,在控制台中查看信息时,仅支持使用IAM非管理员账号登录。
EulerOS日志接入安全云脑操作步骤
- 采集数据需要一台用于安装日志采集的各项配置的ECS主机,且ECS的系统磁盘容量 ≥ 50 GB。
若已有满足条件的ECS,则跳过此步骤。
若需新购买ECS,请参考购买申请ECS。
- 购买数据磁盘,保障日志采集器有足够的运行空间。
ECS中有用于采集管理的日志采集器的空闲数据盘,此数据磁盘需要和已有的ECS属于同一可用区,且磁盘容量 ≥ 100 GB。
- 挂载数据磁盘到符合条件的ECS上。
需要将符合条件的数据磁盘挂载在已有的符合条件的ECS上,保障日志采集器有足够的运行空间,操作指导请参考挂载数据磁盘。
若满足以下任一场景则无需执行此步骤:
- 创建非管理员IAM账户。
租户采集的鉴权采用的是IAM鉴权,因此需要创建拥有安全云脑接口访问权限的IAM最小权限账户(机机账户),同时禁止开启MFA。该账户主要用于租户侧日志采集器登录并访问安全云脑,操作指导请参考创建非管理员IAM账户。
- 采集数据前,需要进行网络连通配置,以便实现租户VPC与安全云脑的网络连通。操作指导请参考网络连通配置。
- 安装组件控制器(isap-agent),纳管日志采集器节点(ECS)到安全云脑。操作指导请参考安装组件控制器(isap-agent)。
- 安装日志采集组件(Logstash),配置日志采集进程。操作指导请参考安装日志采集组件(Logstash)。
- 创建日志存储管道,在安全云脑中创建日志存储位置(管道),用于日志存储、分析。
(可选)新增用于转入数据的数据空间,如果已有三方数据存放空间,无需再进行新增。(可选)在已新增的数据空间中新增用于转入数据的存储管道,如果已有存储管道,无需再进行新增。
- 进入目标工作空间管理页面,在左侧导航栏选择,进入安全分析页面。
图2 进入安全分析页面
- 新增数据空间。
- 在数据空间列表左上角,单击“新增”,系统从右侧弹出新增数据空间界面。
图3 新增数据空间
- 在新增数据空间页面中,配置新建数据空间参数,参数说明如下所示:
表1 新增数据空间 参数名称
参数说明
数据空间
输入数据空间名称。命名规则如下:
- 名称长度取值范围为5-63个字符。
- 可包含英文字母、数字和-。其中,-不能出现在开头和结尾,且不能连续出现。
- 名称须为全局(整个华为云上)唯一,不能与其他数据空间名称相同。
此处示例命名为“DataTransfer”。
描述
可选参数,设置该数据空间的备注信息。
- 单击“确定”。
- 在数据空间列表左上角,单击“新增”,系统从右侧弹出新增数据空间界面。
- 在左侧数据空间导航栏中,单击b.新增数据空间。新增的数据空间名称右侧的
,并在下拉选项中选择的“创建管道”,系统从右侧弹出创建管道页面。
图4 创建管道
- 在创建管道页面中,配置管道参数,参数说明如表2所示。
表2 创建管道 参数名称
参数说明
数据空间
该管道所属的数据空间,系统默认生成。
管道名称
自定义管道的名称。命名规则如下:
- 名称长度取值范围为5-63个字符。
- 可包含英文字母、数字和-。其中,-不能出现在开头和结尾,且不能连续出现。
- 名称须为数据空间中的唯一,不能与数据空间中其他管道名称相同。
建议命名为“windows_config_log”。
Shard数
该管道的Shard数量。取值范围为:1-64。保持缺省值即可。
索引可以存储数据量超过1个节点硬件限制的数据。为满足这样的需求,Elasticsearch提供了一个能力,将一个索引拆分为多个,称为Shard。当您创建一个索引时,您可以根据实际情况指定Shard的数量。每个Shard托管在集群中的任意一个节点中,且每个Shard本身是一个独立的、全功能的“索引”。
生命周期
该管道内数据的生命周期。取值范围为:7-180。
保持缺省值即可。
描述
可选参数,设置该管道的备注信息。
- 单击“确定”。创建成功后,可单击数据空间名称,展开查看已创建的管道。
不同的数据来源接入安全云脑,建议使用不同的管道进行存储,方便后续对指定数据进行查询分析。
- 进入目标工作空间管理页面,在左侧导航栏选择,进入安全分析页面。
- 配置连接器,配置日志来源、接收目的的参数信息。
- 进入目标工作空间管理页面,在左侧导航栏选择,默认进入连接管理页面。
图5 进入连接管理页面
- 新增数据连接来源。
- 在“连接管理”页面中,单击“新增”,默认进入选择数据连接来源页面。
- 配置数据连接来源参数。
此处以日志数据来源类型为UDP为例进行介绍,更多连接类型介绍请参见连接器规则说明。
表3 日志来源 参数名称
配置说明
连接方式
选择“来源”。
连接类型
选择“用户数据协议(Udp)”。
名称
自定义设置数据连接来源名称。此处示例设置为“in-windows-config”。
描述
自定义设置数据来源描述信息。此处示例设置为“Windows配置日志”。
端口
设置需要采集的端口,此处示例设置为“5157”。
解码类型
设置编码格式,建议设置“Plain”。
高级设置
无需配置。
- 设置完成后,单击页面右下角“确认”。
- 新增数据连接目的。
- 在“连接管理”页面中,单击“新增”,进入选择数据连接页面。
- 配置数据连接目的参数。
表4 日志目的 参数名称
配置说明
连接方式
选择“目的”。
连接类型
选择“云脑管道(Pipe)”。
名称
自定义设置数据连接目的名称。此处示例设置为“out-pipe-windows-config”。
描述
自定义设置日志数据目的描述信息。此处示例设置为“Windows配置日志”。
类型
自定义设置日志目的类型。此处请选择“租户”。
管道
选择创建日志存储管道创建的管道。此处示例选择“windows_config_log”。
域账户
输入当前登录Console的IAM账号的域账户信息。
用户名
输入当前登录Console的IAM账号的用户信息。
密码
输入当前登录Console的IAM账号的密码。
高级设置
无需配置。
- 设置完成后,单击页面右下角“确认”。
- 进入目标工作空间管理页面,在左侧导航栏选择,默认进入连接管理页面。
- 配置日志采集通道,完成各功能组件连接,实现安全云脑和日志采集器正常工作。
- 进入目标工作空间管理页面,在左侧导航栏选择,进入采集管理页面后,选择“采集通道管理”页签,进入采集通道管理页面。
图6 进入采集通道管理页面
- 新增日志采集通道分组。
- 在采集通道管理页面中,单击“分组列表”右侧的
。 - 自定义输入分组名称,此处示例配置为Windows配置日志,单击
,完成新增。
- 在采集通道管理页面中,单击“分组列表”右侧的
- 新建日志采集通道。
- 在采集通道管理页面的分组列表右侧,单击“新增”,进入新增采集通道页面。
- 在“基础配置”页面中,配置基础信息。
表5 基础配置参数说明 参数名称
参数说明
基础信息
名称
自定义采集通道名称。此处示例设置为“Windows配置日志”。
通道分组
选择b. 新增日志采集通道分组创建的分组。此处示例选择“Windows配置日志”。
(可选)描述
自定义填写采集通道描述信息。
来源配置
源名称
选择配置连接器新增的日志来源名称。此处示例选择为“in-windows-config”。
选择后系统将自动生成已选择来源的相关信息。
目的配置
目的名称
选择配置连接器新增的日志目的名称。此处示例选择为“out-pipe-windows-config”。
选择后系统将自动生成已选择目的相关信息。
- 单击页面右下角“下一步”,进入“解析器配置”页面。
- 在“解析器配置”页面中,选择“快速接入”,将原始日志直接接入采集通道列表中。解析器配置完成后,单击页面右下角“下一步”,进入“运行节点选择”页面。
- 在“运行节点选择”页面中,单击“新增”,并在弹出的添加节点框中选择安装组件控制器(isap-agent)中纳管的ECS节点后,单击“确认”。
图7 选择运行节点
- 单击页面右下角“下一步”,进入“通道详情预览”页面。
- 在“通道详情预览”页面确认配置无误后,单击“保存并执行”。
- 在采集通道管理页面,当采集通道的健康状态列显示为“正常”,表示当前采集通道下发已经全部成功。
图8 采集通道配置完成
- 进入目标工作空间管理页面,在左侧导航栏选择,进入采集管理页面后,选择“采集通道管理”页签,进入采集通道管理页面。
- 配置Windows日志转发。
通过Filebeat服务进行远程日志采集。
- 远程登录待采集日志的ECS。
- 基于您的Windows的镜像版本下载安装包进行安装。
- 下载Filebeat服务,下载链接请参见beats官网。
- 解压下载包,执行包里的安装脚本install-service-filebeat。
- 修改filebeat.yml文件配置。
- 日志采集配置:
- type: log #此处需特别注意,官方默认配置为 false,需要修改为 true enabled: true paths: #此处配置的是需要收集的日志所在的位置,可使用通配符进行配置 - D:/tmp/filebeat-input/*.log
图9 修改配置文件
Windows路径样例:C:\Windows\System32\winevt\Logs\*.evtx。其中Windows日志路径获取方法如下:
- 在Windows系统中,搜索并打开“事件查看器”。
- 在左侧导航栏中选择“Windows 日志 > 系统”,进入系统某页面,单击信息“属性”。
- 在日志属性-系统页面,查看“日志路径”。
- 日志转发配置
安全云脑采集节点是使用Logstash服务进行日志采集的,需要修改以下配置:
- 去除以下两行参数的“#”注释。
#output.logstash: #hosts: ["localhost:5044"]
- 修改“localhost”为采集管理虚机对应的IP。可在目标工作空间左侧导航栏选择页面,单击“节点管理”,查看数据采集ECS节点对应的IP地址。
- 端口号示例使用5157。若需要同时将不同类型日志同时接入安全云脑,建议不同类型日志使用不同的端口号,可使用端口号范围1025-65535。
图10 修改前
修改完成后如下图所示:
图11 修改后
- 去除以下两行参数的“#”注释。
- 前台启动filebeat服务。
- 在Windows系统的搜索框中输入cmd,打开命令提示符。
- 输入如下命令,进入filebeat安装目录所在的盘,此处示例D盘。
D:
- 输入如下命令,进入filebeat安装目录。
cd filebeat安装目录
图12 进入filebeat安装目录
- 输入如下命令,并按Enter。
(前台).\filebeat -e -c filebeat.yml
- 安装后,后台启动服务。
在filebeat目录下,选择POWERSHELL脚本“install-service-filebeat”文件,右键选择使用“Powershell”方式打开,直接运行,后台启动服务。
- 日志采集配置:
- 安全查询与分析,将日志接入安全云脑管道后可在安全云脑中查询。
- 进入目标工作空间管理页面,在左侧导航栏选择,进入安全分析页面。选择创建日志存储管道新增或使用的管道(此处选择“windows_config_log”),即可查看日志解析后的数据。
- 查询与分析日志详细操作请参见查询与分析日志。
图13 查询与分析
