文档首页/ 安全云脑 SecMaster/ 用户指南/ 日志审计/ 数据采集/ 新增采集通道
更新时间:2026-05-15 GMT+08:00
查看PDF
分享

新增采集通道

操作场景

本章节主要介绍如何新增以及编辑采集通道,完成各种功能组件连接,实现安全云脑和日志采集器正常工作。

新增分组

新增采集通道前,需先新增分组。

  1. 登录安全云脑 SecMaster控制台
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图1 进入目标工作空间管理页面

  4. 在左侧导航栏选择日志审计 > 采集管理,进入采集管理页面后,选择“采集通道管理”页签,进入采集通道管理页面。

    图2 进入采集通道管理页面

  5. 新增分组。

    1. 在采集通道管理页面中,单击“分组列表”右侧的
    2. 输入分组名称,并单击,完成新增。

    分组新增完成后,如需编辑/删除,可以将鼠标悬停在分组名称后,单击编辑/删除按钮,进行编辑/删除操作。

新增采集通道

  1. 在采集通道管理页面的分组列表右侧,单击“新增”,进入新增采集通道页面。
  2. “基础配置”页面中,配置基础信息。

    表1 基础配置参数说明

    参数名称

    参数说明

    基础信息

    名称

    自定义采集通道名称。输入长度范围5~128个字符。

    通道分组

    下拉选择采集通道所属分组。新增分组操作可参见新增分组

    (可选)描述

    输入采集通道描述信息。输入长度0~1024个字符。

    来源配置

    源名称

    选择采集通道来源名称,即选择采集通道的来源连接器对应连接名称,配置来源连接器请参见新增连接

    选择后系统将自动生成已选择来源的相关信息。

    目的配置

    目的名称

    选择采集通道目的名称,即选择采集通道的目的连接器对应连接名称,配置目的连接器请参见新增连接

    选择后系统将自动生成已选择目的相关信息。

  3. 基础配置完成后,单击页面右下角“下一步”,进入“解析器配置”页面。
  4. “解析器配置”页面中,选择解析器,选择后,系统将显示已选择解析器的相关信息。

    如果无可选解析器或需新增解析器,可以单击“新建”,新建解析器。新增解析器详细操作请参见创建解析器

  5. 解析器配置完成后,单击页面右下角“下一步”,进入“运行节点选择”页面。
  6. “运行节点选择”页面中,单击“新增”,并在弹出的添加节点框中选择节点后,单击“确认”

    • 运行参数:节点添加后,如果需要在已添加节点中配置运行参数,请参照以下步骤进行处理:
      1. 在节点列表中,单击目标节点所在行“操作”列的“运行参数”按钮。
      2. 单击“添加配置”,设置运行键和运行值。

        如果用户需要对采集通道的运行参数做优化,此处提供了pipeline.batch.size、pipeline.workers、pipeline.batch.delay三个可选优化参数,用户可以根据自身业务情况进行优化。如果无需优化,直接删除相关的配置即可。

        表2 参数配置说明

        参数

        类型

        说明

        pipeline.batch.size

        int

        配置每个worker线程每次收集event的数量,配置越大越有效率,但同理,内存开销也会增大,可以在jvm.options中配置增加堆空间。

        pipeline.workers

        int

        pipeline中的worker线程数配置,默认是CPU的核数。

        pipeline.batch.delay

        int

        设置当前pipe提交延迟时间,设置此时间可以提升消息提交次数,提升系统消耗。
    • 移除节点:节点添加后,如需移除,请在节点列表中,单击目标节点所在行“操作”列的“移除”按钮,已添加节点将被移除。

  7. 运行节点选择完成后,单击页面右下角“下一步”,进入“通道详情预览”页面。
  8. “通道详情预览”页面确认配置无误后,单击“保存并执行”

    当采集通道“健康状态”“正常”,表示当前采集通道下发已经全部成功。采集通道健康状态代表的含义如下表所示:

    表3 采集通道健康状态

    健康状态

    说明

    机器过载

    采集器的CPU或内存利用率超过80%,通常是因为采集通道配置错误导致采集器反复重启最终导致过载。

    正常

    采集通道正常运行中。

    待下发

    初次配置采集通道的配置下发过程状态。

    异常

    一个相同的采集通道配置同时下发到多个节点,存在部分节点下发成功,部分节点未下发成功,会出现“异常”状态。建议等待约5分钟后重启采集通道,若多次重启依然显示异常,需要进一步定位根因。

    故障

    采集通道配置下发到1个或多个节点,所有节点均下发失败,会显示“故障”

编辑采集通道

  1. 登录安全云脑 SecMaster控制台
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图3 进入目标工作空间管理页面

  4. 在左侧导航栏选择日志审计 > 采集管理,进入采集管理页面后,选择“采集通道管理”页签,进入采集通道管理页面。

    图4 进入采集通道管理页面

  5. 在采集通道管理列表中,单击目标通道所在行“操作”列的更多 > 编辑,进入编辑采集通道页面。
  6. “基础配置”页面中,配置基础信息。

    表4 基础配置参数说明

    参数名称

    参数说明

    基础信息

    名称

    自定义采集通道名称。输入长度范围5~128个字符。

    通道分组

    选择采集通道所属分组。

    (可选)描述

    输入采集通道描述信息。输入长度0~1024个字符。

    来源配置

    源名称

    选择采集通道来源连接器名称。

    选择后系统将自动生成已选择来源的相关信息。

    目的名称

    选择采集通道目的连接器名称。

    选择后系统将自动生成已选择目的相关信息。

  7. 基础配置完成后,单击页面右下角“下一步”,进入“解析器配置”页面。
  8. “解析器配置”页面中,选择解析器,选择后,系统将显示已选择解析器的相关信息。

    如果无可选解析器或需新增解析器,可以单击“新建”,新建解析器。新增解析器详细操作请参见创建解析器

  9. 解析器配置完成后,单击页面右下角“下一步”,进入“运行节点选择”页面。
  10. “运行节点选择”页面中,单击“新增”,并在弹出的添加节点框中选择节点后,单击“确认”

    • 运行参数:节点添加后,如在已添加节点中运行参数,请参照以下步骤进行处理:
      1. 在节点列表中,单击目标节点所在行“操作”列的“运行参数”按钮。
      2. 单击“添加配置”,设置运行键和运行值。
    • 移除节点:节点添加后,如需移除,请在节点列表中,单击目标节点所在行“操作”列的“移除”按钮,已添加节点将被移除。

  11. 运行节点选择完成后,单击页面右下角“下一步”,进入“通道详情预览”页面。
  12. “通道详情预览”页面确认配置无误后,单击“保存并执行”

相关操作

关于如何查看采集通道、删除采集通道、启用采集通道、停止采集通道、重启采集通道,详细操作请参考管理采集通道

常见问题

父主题: 数据采集

相关文档