CBH日志接入安全云脑
本章节介绍如何将CBH日志接入安全云脑。
通过syslog服务进行远程日志采集,将CBH日志发送到对应安全云脑节点和对应UDP方式监控的端口上,采集云堡垒机 CBH日志,并使用采集管理中提供的云堡垒机日志解析器进行日志解析,将解析后的数据接入安全云脑管道。接入后,可在页面进行查询。具体流程如下:
|
操作步骤 |
操作说明 |
|---|---|
|
(可选)步骤1:购买ECS |
购买ECS,用于安装日志采集器。 |
|
(可选)步骤2:购买数据磁盘 |
购买数据磁盘,保障日志采集器有足够的运行空间,数据磁盘和ECS属于同一可用区,且数据磁盘容量 ≥ 100 GB。 |
|
(可选)步骤3:挂载数据磁盘 |
将符合条件的数据磁盘挂载在已有的符合条件的ECS上,保障日志采集器有足够的运行空间。 |
|
步骤4:创建非管理员IAM账户 |
创建非管理员IAM账号和密码,用于租户侧日志采集器登录访问安全云脑。 |
|
步骤5:网络连通配置 |
采集数据前,需要进行网络连通配置,以便实现租户VPC与安全云脑的网络连通。 |
|
纳管日志采集器节点(ECS)到安全云脑。 |
|
|
配置日志采集进程。 |
|
|
步骤8:创建日志存储管道 |
在安全云脑中创建日志存储位置(管道),用于日志存储、分析。 |
|
步骤9:配置连接器 |
配置日志来源、接收目的参数信息。 |
|
步骤10:新增解析器 |
由解析器模板“云堡垒机日志解析”创建解析器。 |
|
步骤11:配置日志采集通道 |
完成各功能组件连接,实现安全云脑和日志采集器正常工作。 |
|
步骤12:在CBH侧配置数据转发 |
在CBH侧配置日志转发。 |
|
步骤13:安全查询与分析 |
将日志接入安全云脑管道后可在安全云脑中查询。 |
约束与限制
- 数据采集的组件控制器仅支持运行在Linux系统X86和ARM架构的ECS主机上。
- 安装组件控制器时,在控制台中查看信息时,仅支持使用IAM非管理员账号登录。
- CBH实例和安全云脑需要归属同一个账号,便于通过VPC方式实现网络连通。
CBH日志接入安全云脑操作步骤
- 采集数据需要一台用于安装日志采集的各项配置的ECS主机,且ECS的系统磁盘容量 ≥ 50 GB。
若已有满足条件的ECS,则跳过此步骤。
若需新购买ECS,请参考购买申请ECS。
- 购买数据磁盘,保障日志采集器有足够的运行空间。
ECS中有用于采集管理的日志采集器的空闲数据盘,此数据磁盘需要和已有的ECS属于同一可用区,且磁盘容量 ≥ 100 GB。
- 挂载数据磁盘到符合条件的ECS上。
需要将符合条件的数据磁盘挂载在已有的符合条件的ECS上,保障日志采集器有足够的运行空间,操作指导请参考挂载数据磁盘。
若满足以下任一场景则无需执行此步骤:
- 创建非管理员IAM账户。
租户采集的鉴权采用的是IAM鉴权,因此需要创建拥有安全云脑接口访问权限的IAM最小权限账户(机机账户),同时禁止开启MFA。该账户主要用于租户侧日志采集器登录并访问安全云脑,操作指导请参考创建非管理员IAM账户。
- 采集数据前,需要进行网络连通配置,以便实现租户VPC与安全云脑的网络连通。操作指导请参考网络连通配置。
- 安装组件控制器(isap-agent),纳管日志采集器节点(ECS)到安全云脑。操作指导请参考安装组件控制器(isap-agent)。
- 安装日志采集组件(Logstash),配置日志采集进程。操作指导请参考安装日志采集组件(Logstash)。
- 创建日志存储管道,在安全云脑中创建日志存储位置(管道),用于日志存储、分析。
(可选)新增用于转入数据的数据空间,如果已有三方数据存放空间,无需再进行新增。
(可选)在已新增的数据空间中新增用于转入数据的存储管道,如果已有存储管道,无需再进行新增。- 进入目标工作空间管理页面,在左侧导航栏选择,进入安全分析页面。
图2 进入安全分析页面
- 新增数据空间。
- 在数据空间列表左上角,单击“新增”,系统从右侧弹出新增数据空间界面。
图3 新增数据空间
- 在新增数据空间页面中,配置新建数据空间参数,参数说明如下所示:
表2 新增数据空间 参数名称
参数说明
数据空间
输入数据空间名称。命名规则如下:
- 名称长度取值范围为5-63个字符。
- 可包含英文字母、数字和-。其中,-不能出现在开头和结尾,且不能连续出现。
- 名称须为全局(整个华为云上)唯一,不能与其他数据空间名称相同。
此处示例命名为“DataTransfer”。
描述
可选参数,设置该数据空间的备注信息。
- 单击“确定”。
- 在数据空间列表左上角,单击“新增”,系统从右侧弹出新增数据空间界面。
- 在左侧数据空间导航栏中,单击新增数据空间名称右侧的
,并在下拉选项中选择的“创建管道”,系统从右侧弹出创建管道页面。
图4 创建管道
- 在创建管道页面中,配置管道参数,参数说明如表2所示。
表3 创建管道 参数名称
参数说明
数据空间
该管道所属的数据空间,系统默认生成。
管道名称
自定义管道的名称。命名规则如下:
- 名称长度取值范围为5-63个字符。
- 可包含英文字母、数字和-。其中,-不能出现在开头和结尾,且不能连续出现。
- 名称须为数据空间中的唯一,不能与数据空间中其他管道名称相同。
此处示例命名为“cbh_log”。
Shard数
该管道的Shard数量。取值范围为:1-64。保持缺省值即可。
索引可以存储数据量超过1个节点硬件限制的数据。为满足这样的需求,Elasticsearch提供了一个能力,将一个索引拆分为多个,称为Shard。当您创建一个索引时,您可以根据实际情况指定Shard的数量。每个Shard托管在集群中的任意一个节点中,且每个Shard本身是一个独立的、全功能的“索引”。
生命周期
该管道内数据的生命周期。取值范围为:7-180。
保持缺省值即可。
描述
可选参数,设置该管道的备注信息。
- 单击“确定”。创建成功后,可单击数据空间名称,展开查看已创建的管道。
不同的数据来源接入安全云脑,建议使用不同的管道进行存储,方便后续对指定数据进行查询分析。
- 进入目标工作空间管理页面,在左侧导航栏选择,进入安全分析页面。
- 配置连接器,配置日志来源、接收目的的参数信息。
- 进入目标工作空间管理页面,在左侧导航栏选择,默认进入连接管理页面。
图5 进入连接管理页面
- 新增数据连接来源。
- 在“连接管理”页面中,单击“新增”,默认进入选择数据连接来源页面。
- 配置数据连接来源参数。
图6 来源
此处以日志数据来源类型为UDP为例进行介绍,更多连接类型介绍请参见连接器规则说明。
表4 日志来源 参数名称
配置说明
连接方式
选择“来源”。
连接类型
选择“用户数据协议(Udp)”。
名称
自定义设置数据连接来源名称。此处示例设置为“in-cbh-log”。
描述
自定义设置数据来源描述信息。此处示例设置为“CBH日志”。
端口
设置需要采集的端口,此处示例设置为“9876”。
此处端口需要和CBH转发端口保持一致。
解码类型
设置编码格式,选择“Plain”。
高级设置
无需配置。
- 设置完成后,单击页面右下角“确认”。
- 新增数据连接目的。
- 在“连接管理”页面中,单击“新增”,进入选择数据连接页面。
- 配置数据连接目的参数。
图7 目的
表5 日志目的 参数名称
配置说明
连接方式
选择“目的”。
连接类型
选择“云脑管道(Pipe)”。
名称
自定义设置数据连接目的名称。此处示例设置为“out-pipe-cbh-log”。
描述
自定义设置日志数据目的描述信息。此处示例设置为“CBH日志”。
类型
自定义设置日志目的类型。此处请选择“租户”。
管道
选择创建日志存储管道创建的管道。此处示例选择“cbh_log”。
域账户
输入当前登录Console的IAM账号的域账户信息。
用户名
输入当前登录Console的IAM账号的用户信息。
密码
输入当前登录Console的IAM账号的密码。(密码修改会导致服务无法正常接入)
高级设置
无需配置。
- 设置完成后,单击页面右下角“确认”。
- 进入目标工作空间管理页面,在左侧导航栏选择,默认进入连接管理页面。
- 新增解析器,由解析器模板“CBH日志解析”创建解析器。
- 进入目标工作空间管理页面,在左侧导航栏选择,进入采集管理页面后,选择“解析器管理”页签,进入解析器管理页面。
图8 进入解析器管理页面
- 在解析器管理页面,单击“模板列表”页签。在名称为“云堡垒机日志解析”的解析器模板所在的操作列单击“由模板创建”按钮。进入“新建解析器”页面。
- 在“新建解析器”页面,配置解析器参数。
- 名称:保持模板默认配置即可,无需修改,默认是“云堡垒机日志解析”。
- 描述:保持模板默认配置即可,无需修改。默认是“云堡垒机日志解析”。
- 解析规则:保持模板默认配置即可,无需修改。
- 单击“确定”。返回页面,可查看已创建的解析器。
图9 查看新建解析器
- 配置日志采集通道,完成各功能组件连接,实现安全云脑和日志采集器正常工作。
- 进入目标工作空间管理页面,在左侧导航栏选择,进入采集管理页面后,选择“采集通道管理”页签,进入采集通道管理页面。
图10 进入采集通道管理页面
- 新增日志采集通道分组。
- 在采集通道管理页面中,单击“分组列表”右侧的
。 - 自定义输入分组名称,此处示例配置为CBH日志,单击
,完成新增。
- 在采集通道管理页面中,单击“分组列表”右侧的
- 新建日志采集通道。
- 在采集通道管理页面的分组列表右侧,单击“新增”,进入新增采集通道页面。
- 在“基础配置”页面中,配置基础信息。
表6 基础配置参数说明 参数名称
参数说明
基础信息
名称
自定义采集通道名称。此处示例设置为“CBH日志”。
通道分组
选择b. 新增日志采集通道分组创建的分组。此处示例选择“CBH日志”。
(可选)描述
自定义填写采集通道描述信息。
来源配置
源名称
选择配置连接器新增的日志来源名称。此处示例选择为“in-cbh-log”。
选择后系统将自动生成已选择来源的相关信息。
目的配置
目的名称
选择配置连接器新增的日志目的名称。此处示例选择为“out-pipe-cbh-log”。
选择后系统将自动生成已选择目的相关信息。
- 单击页面右下角“下一步”,进入“解析器配置”页面。
- 在“解析器配置”页面中,选择“云堡垒机日志解析”,将原始日志直接接入采集通道列表中。解析器配置完成后,单击页面右下角“下一步”,进入“运行节点选择”页面。
- 在“运行节点选择”页面中,单击“新增”,并在弹出的添加节点框中选择安装组件控制器(isap-agent)中纳管的ECS节点后,单击“确认”。
图11 选择运行节点
- 单击页面右下角“下一步”,进入“通道详情预览”页面。
- 在“通道详情预览”页面确认配置无误后,单击“保存并执行”。
- 在采集通道管理页面,当采集通道的健康状态列显示为“正常”,表示当前采集通道下发已经全部成功。
图12 采集通道配置完成
- 进入目标工作空间管理页面,在左侧导航栏选择,进入采集管理页面后,选择“采集通道管理”页签,进入采集通道管理页面。
- 在CBH侧配置数据转发。
- 用户已获取“系统”模块管理权限,以admin账号登录云堡垒机 CBH系统。
- 选择“系统 > 数据维护 > 日志备份”,进入系统日志备份配置管理页面。
图13 进入系统日志备份配置管理页面
- 在“远程备份至Syslog服务器”区域,单击“编辑”,弹出备份至Syslog服务器配置窗口,配置服务器相关参数。
图14 配置远程备份至syslog服务器的参数
表7 表1 配置Syslog服务器远程备份参数 参数
说明
状态
选择开启或关闭备份至Syslog服务器,默认
,此处需要打开该按钮开关。
,表示开启备份日志至Syslog服务器。每天零点自动启动备份。
,表示关闭备份日志至Syslog服务器。
发送者标识符
自定义堡垒机到Syslog服务器的标识符。用于在Syslog日志服务器,区分所接收的日志来自于相应的堡垒机。此处示例配置为“cbh”。
服务器IP
输入云脑采集节点的IP地址,即部署了CBH日志采集通道的ECS节点的IP地址,在配置采集通道时运行节点选择步骤选中的ECS节点对应的IP地址。
端口
端口与云脑采集管理配置的端口保持一致。
云脑侧端口号示例配置为“9876”,CBH侧此处也示例配置为“9876”。
协议
选择Syslog服务器协议类型,此处选择“UDP”。
备份内容
选择需备份的日志类型,至少需勾选一个类型,此处示例全选。
- 系统登录日志:所有登录实例的操作记录日志。
- 资源登录日志:在当前实例登录已纳管资源的所有操作记录日志。
- 命令操作日志:在当前实例中执行的所有命令记录日志。
- 文件操作日志:对实例中文件的操作日志,包括上传、下载等。
- 双人授权日志:实例中执行双人授权操作的所有日志。
- 单击“确定”,返回日志备份管理页面,查看创建的系统备份信息。
- 安全查询与分析,将日志接入安全云脑管道后可在安全云脑中查询。
- 进入目标工作空间管理页面,在左侧导航栏选择,进入安全分析页面。选择创建日志存储管道新增或使用的管道(此处选择“cbh_log”),即可查看日志解析后的数据。
- 查询与分析日志详细操作请参见查询与分析日志。
图15 查询与分析
