日志审计为您提供云上的统一安全日志审计与检索调查平台,包含主机安全告警、Web 应用防火墙告警、DDoS 防护告警、云防火墙告警、SaaS 型堡垒机告警、传统型堡垒机告警、安全运营中心告警和网络入侵检测告警等安全相关日志数据,您可根据实际不同安全场景按需进行检索调查和日志投递。
说明
日志审计仅会对已购买或试用过安全运营中心后产生的日志进行审计,并不能同步历史日志。
前提条件
变更配置
说明
页面布局介绍
区域说明:
日志投递:将归一后的日志投递到腾讯云消息队列 Ckafka 版上,操作方法详见 日志投递。
日志普通检索:支持时间范围和日志类型进行日志搜索,操作方法详见 日志普通检索。
日志高级检索:支持 ElasticSearch 查询语句进行日志搜索,还可以通过字段进行更精确的搜索,另外支持日志检索模板功能,操作方法详见 日志高级检索。
日志统计图:展示了符合搜索条件的日志在时间维度上的分布情况,操作方法详见 日志统计图。
日志展示字段配置区:配置日志列表的展示字段,分为展示字段区和隐藏字段区,操作方法详见 日志展示字段配置。
日志列表:以列表形式展示了符合搜索条件的日志详情,操作方法详见 日志列表。
日志投递
日志投递,是将归一后的日志投递到腾讯云消息队列 Ckafka 版上,然后进行分析使用。
说明
若要使用日志投递功能,请购买腾讯云 消息队列 Ckafka 版实例,推荐按照需要投递的日志量来选购对应的 Ckafka 实例规格。
根据 消息队列 Ckafka 版文档指引,开通白名单实现公网域名接入或支撑环境接入。
按照日志投递页面的指引完成日志投递配置,仅支持使用同一消息队列用户进行投递。
接口授权
在日志检索页面,单击日志投递,如果尚未授权安全运营中心使用消息队列 Ckafka 版接口,会弹出 Ckafka 授权提示框,单击前往授权进行接口的授权操作。
配置日志投递
1. 安全运营中心与消息队列 Ckafka 版接口的授权完成后,返回安全运营中心。
2. 在 日志检索页面,单击页面顶部的日志投递,进入日志投递页面。
说明
如果弹出提示框“访问管理授权失效”,请检查消息队列 Ckafka 版访问管理授权是否关闭。只有正确开启访问管理授权之后,日志投递才能生效。
3. 在日志投递页面,可以进行以下操作。
查看用户文档
单击页面右上角的查看用户文档,可以查看日志投递的操作说明。
前往消息队列控制台
配置日志投递之前,需要先单击页面右上角的前往消息队列控制台,跳转至消息队列 CKafka 版的实例列表页面进行消息服务的购买和销毁/退还等操作。
说明
配置日志投递
消息队列实例配置完毕,开始日志投递的配置。日志投递的网络接入方式包括两种:公网域名接入和支撑环境接入。
公网域名接入
公网域名接入的日志投递各项参数含义如下:
消息队列实例:建议选择之前单击
进行消息队列实例的刷新,然后选择一个消息队列实例。公网域名接入:选择准备接入消息队列实例的公网域名。
用户名/密码:输入所选消息队列实例的用户名和密码。
日志来源:安全运营中心投递的日志来源包括 DDoS 防护、主机安全、云防火墙、Web 应用防火墙、SaaS 型堡垒机、传统型堡垒机和安全运营中心。
日志类型:每个日志来源包含一种或多种日志类型(例如:云防火墙的日志类型包含基础防御告警、虚拟补丁告警和威胁情报告警,安全运营中心的日志类型包含运营中心告警和网络入侵检测告警),选择一种或多种想要投递的日志类型即可。
TopicId/名称:不同日志类型/日志来源不能投递到同一个 Topic/名称;对于不进行投递的日志类型,可以不选择 Topic/名称。
以上各项配置完毕,单击确认,系统会自动确认是否完成配置。如果配置正确,自动关闭日志投递配置页并弹出提示框“日志投递配置成功”。
支撑环境接入
支撑环境接入与公网域名接入的操作方法基本相同,只是无需输入用户名/密码。
配置状态监控
3.1 日志投递配置成功后,再次单击日志投递,进入日志投递配置状态监控页面。
3.2 日志投递配置状态监控页面的上半部分展示消息队列的基本信息,可以通过消息队列查询接口获取。状态与消息队列的健康状态显示一致,分为监控(绿色字体显示)、告警(黄色字体显示)和异常(红色字体显示)。
说明
这里的消息队列是配置日志投递时指定名称的消息队列。
3.3 日志投递配置状态监控页面的下半部分是各个日志来源和日志类型的 Topic 配置结果以及投递状态。
如果日志类型的内容过长,将鼠标悬浮在上面即可展示全部内容。
投递状态分为正常、异常和 - 。
正常:投递完全正常。
异常:投递过程中出现投递失败或无法投递等情况。
-:客户并未配置对应的日志来源进行投递。
3.4 在日志投递配置状态监控页面中,还可以进行修改配置和查看监控的操作。
修改配置:单击修改配置进入日志投递配置页面,可以修改日志投递的各项配置。
查看监控:单击查看监控,跳转至对应消息队列 CKafka 版的实例列表页面,然后单击实例 ID/名称进入监控页。
日志普通检索
选择时间范围
1. 默认的日志时间范围是“今天”,也可以选择“昨天”、“近7天”或“近30天”。
2. 若要选择更精确的时间范围,单击起止时间框并单击左下角的选择时间和选择日期,进行起始日期/时间和截止日期/时间的设置。
选择日志类型
1. 日志类型不能为空。在日志类型选择框内的任意位置单击,弹出日志类型选择框,至少选择一种日志类型或者在左下角选中“全选”。
2. 单击确定即可检索所选的日志类型。
3. 将鼠标悬浮在日志类型选择框内的任意位置,弹出已选日志类型名称,可以快速查看当前所选的全部日志类型。
日志高级检索
查看检索语法帮助文档
进行日志高级检索之前,单击搜索框内的
可以查看 ElasticSearch 查询语句的在线帮助。
高级检索方法
输入 ElasticSearch 查询语句或者匹配日志字段,单击图标
即可进行日志的高级检索。1. 单击高级检索框内任意位置,展示最近使用的5条 ElasticSearch 查询语句,您可以直接选择并稍加修改进行快速检索。
2. 单击
可以设置多个搜索条件并匹配字段进行日志检索。2.1 单击图标 + 可以继续添加搜索条件,单击图标 × 可以删除对应的搜索条件。
2.2 搜索条件设置完毕,单击确定即可搜索符合条件的日志,同时在搜索框内列出本次设置的搜索条件。若搜索条件较多,单击图标 … 可以查看本次设置的全部搜索条件。
2.3 单击图标
可以删除本次对应的搜索条件或者全部搜索条件。日志检索模板
安全运营中心支持日志检索模板的复用,可以将常用的检索场景进行保存,减少重复操作。
1. 保存日志检索模板。
1.1 在完成日志高级搜索之后,单击保存搜索,弹出保存提示框。
1.2 填写模板名称,即可将当前的检索条件存储为日志检索模板。
2. 打开日志检索模板。
2.1 日志检索模板保存后,单击快速搜索弹出日志搜索模板列表。
2.2 在日志检索模板列表中,单击打开,即可使用对应的日志检索模板进行快速检索。
2.3 在日志检索模板列表中,单击删除,可以删除对应的日志检索模板。
3. 单击图标
可以手动刷新当前日志搜索结果。日志统计图
1. 日志检索之后,日志统计图展示了符合搜索条件的日志在时间维度上的分布情况,包括时间范围和日志数量。将鼠标悬浮在柱状图上,可以显示具体时间及其对应的日志数量。
2. 在日志统计图中拖拽某个时间范围的柱状,即可在选定的时间范围内二次筛选出更精细的日志检索结果。例如:拖拽某日6:00-14:30的柱状之后,会展示该时间范围内的日志统计图和日志列表。
3. 在日志统计图右上角,单击返回可以返回上一步时间筛选条件的日志检索结果,单击还原可以还原为当前检索条件的日志检索结果。
日志展示字段配置
您可以通过字段的展示/隐藏来控制日志列表的展示内容,默认仅展示日志的 Source 字段。
展示字段
展示字段,即日志列表的表头。若不想该字段出现在日志列表,将鼠标悬浮在字段上并单击右侧的移除即可下移到隐藏字段区域。
隐藏字段
将鼠标悬浮在字段上并单击字段右侧的显示即可上移到展示字段区域,该字段出现在日志列表的表头。
查看字段值列表
1. 单击某个字段名,显示该字段的日志数与占比 TOP5。
2. 若字段值超过5个,单击查看全部,即可查看该字段的所有字段值。
日志列表
1. 日志检索之后,符合检索条件的日志出现在日志列表中,默认仅展示日志的 Source 字段。在日志列表右上角单击图标
可以全屏展示日志列表;若日志字段太多导致日志列表查看不便,可单击图标
将所有字段内容切换到列表中显示。
2. 在日志列表中,可以查看每个日志的 Table 和 Json。在 Table 页中,单击图标
可以进行字段值的过滤、排除和切换列显示的功能。
3. 在日志列表中,单击表头时间可以根据时间顺序或倒序排列。