更新时间:2024-12-09 GMT+08:00

(可选)步骤八:创建日志存储管道

本章节将介绍如何在安全云脑中创建日志存储位置(管道),用于日志存储、分析。

将非华为云日志转入安全云脑场景时,需要执行此步骤。将华为云日志转出至第三方系统或者产品场景,请跳过此步骤。

创建日志存储管道

  1. 登录管理控制台。
  2. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  3. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图1 进入目标工作空间管理页面

  4. 在左侧导航栏选择威胁运营 > 安全分析,进入安全分析页面。

    图2 进入安全分析页面

  5. 新增数据空间。

    1. 在数据空间列表左上角,单击“新增”,系统从右侧弹出新增数据空间界面。
      图3 新增数据空间
    2. 在新增数据空间页面中,配置新建数据空间参数,参数说明如表1所示。
      表1 新增数据空间

      参数名称

      参数说明

      数据空间

      输入数据空间名称。命名规则如下:

      • 名称长度取值范围为5-63个字符。
      • 可包含英文字母、数字和-。其中,-不能出现在开头和结尾,且不能连续出现。
      • 名称须为全局(整个华为云上)唯一,不能与其他数据空间名称相同。

      描述

      可选参数,设置该数据空间的备注信息。

    3. 单击“确定”

  6. 在左侧数据空间导航栏中,单击5新增的数据空间名称右侧的,并在下拉选项中选择的“创建管道”,系统从右侧弹出创建管道页面。

    图4 创建管道

  7. 在创建管道页面中,配置管道参数,参数说明如表2所示。

    表2 创建管道

    参数名称

    参数说明

    数据空间

    该管道所属的数据空间,系统默认生成。

    管道名称

    自定义管道的名称。命名规则如下:

    • 名称长度取值范围为5-63个字符。
    • 可包含英文字母、数字和-。其中,-不能出现在开头和结尾,且不能连续出现。
    • 名称须为数据空间中的唯一,不能与数据空间中其他管道名称相同。

    Shard数

    该管道的Shard数量。取值范围为:1-64。

    索引可以存储数据量超过1个节点硬件限制的数据。为满足这样的需求,Elasticsearch提供了一个能力,将一个索引拆分为多个,称为Shard。当您创建一个索引时,您可以根据实际情况指定Shard的数量。每个Shard托管在集群中的任意一个节点中,且每个Shard本身是一个独立的、全功能的“索引”。

    生命周期

    该管道内数据的生命周期。取值范围为:7-180。

    描述

    可选参数,设置该管道的备注信息。

  8. 单击“确定”

    创建成功后,可单击数据空间名称,展开查看已创建的管道。