更新时间:2024-12-12 GMT+08:00

接入数据

操作场景

安全云脑支持一键接入WAF、HSS、OBS等多种华为云云产品的日志数据。接入后,可以统一管理日志信息,以及检索并分析所有收集到的日志。具体支持接入的云服务日志请参见支持接入的日志

每个Region的首个工作空间可自动加载当前Region推荐接入的日志数据(未全部接入),无需手动处理。后续新增的用于自定义运营的工作空间,不会自动加载数据,需要用户自定义接入。

建议将安全云脑管理的资产以及资产的告警、基线检查结果、漏洞数据、日志数据接入同一个工作空间,便于统一运营,进行安全分析关联。

本章节介绍如何接入数据并查看日志存储位置。

约束与限制

数据集成操作成功后,日志数据订阅预计在十分钟内生效。

接入服务日志

  1. 登录管理控制台。
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  4. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图1 进入目标工作空间管理页面

  5. 在左侧导航栏选择设置 > 数据集成,进入云服务日志接入页面。

    图2 数据集成页面

  6. 在待接入云产品的“审计相关日志”列,单击,开启接入的云服务日志。

    如需接入当前region所有支持的云产品的日志,可直接单击“一键接入服务日志”前的按钮,一键接入当前region所有云服务日志。

  7. 设置生命周期。

    系统默认存储数据7天,您可以根据需要进行设置。

  8. 设置是否自动转告警。

    在待设置云产品的“自动转告警”列,单击,开启接入的云服务日志满足告警条件时,自动转为告警,并且在“告警管理”页面中进行展示。

    • 如果此处未开启自动转告警,在对应日志满足告警条件时,将不会转为告警,也不会在“告警管理”页面中进行展示。
    • 在安全云脑的“漏洞管理”页面可以接入主机漏洞扫描结果,如果数据集成操作时接入了主机漏洞扫描结果,但是未开启自动转告警,则在“漏洞管理”将不会展示主机相关的漏洞扫描情况。

  9. 单击“保存”,并在弹出的配置保存框中,单击“确定”

    操作成功后,日志数据订阅预计在十分钟内生效。接入完成后,将创建默认数据空间和管道。

查看日志数据的存储位置

  1. 登录管理控制台。
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  4. 在左侧导航栏选择设置 > 数据集成,进入数据集成页面后,在云产品接入表格的“存储位置”列查看日志数据存储位置。

    查看后,可以前往目标工作空间的对应管道查看接入的日志数据。
    图3 查看存储位置

相关操作

  • 取消数据接入
    1. 在待取消接入云产品的“审计相关日志”列,单击,关闭接入的云服务日志。
    2. 单击“保存”
  • 编辑数据接入生命周期
    1. 在待编辑云产品的“生命周期”列,输入生命周期时间。
    2. 单击“保存”
  • 取消自动转告警
    1. 在待取消云产品的“自动转告警”列,单击,关闭告警映射。
    2. 单击“保存”