新增采集资产
Syslog资产
- 登录日志审计控制台。
- 选择“系统配置 > 采集管理 > syslog-udp”,进入syslog-udp资产配置页。
- 选择待采集设备的“资产组”和“资产IP”,单击“新增”完成资产配置。
Snmptrap资产
同上,区别于采集方式选择Snmptrap。配置Snmptrap采集资产:
- 新增MIB文件任务。在菜单“系统配置> 采集管理 > MIB管理”页面中,单击“新增”,上传MIB文件。
- 在菜单“系统配置 > 采集管理 > SnmpTrap管理”页面中,单击“新增”,对弹出的对话框中填写相关参数,详情见下表。
- 单击“提交”,完成Snmptrap资产的对接。
参数名称 填写说明 资产IP 选择待采集资产的IP地址。 数据接收端口 选择待采集资产的数据接收端口。 关联资产 自动关联,无需填写。 SNMP版本 选择SNMP版本,当前仅支持“v1”和“v2c”版本。 Community 自定义发送的团队名称。 MIB选择文件 选择步骤1上传的MIB文件。 发送Topic名称 自定义发送Topic的名称。 MIB文件内容 查询MIB中文件的内容。关键字查询,多个关键字符请使用英文","进行分隔。
Linux设备和Windows设备
Linux设备
针对Linux操作系统的syslog采集配置,为减轻运维人员工作,编写了自动化配置脚本,由运维人员执行脚本即可完成配置,将系统日志上报到服务端,该文档主要对配置脚本提供使用说明。
注意脚本和详细步骤控制台左上角单击图标,选择“帮助手册”下载。
安装步骤:
- 上传脚本到服务器任意目录下;
- 使用root用户登陆**su - root,并切换到上传目录下;
- 增加脚本执行权限:chmod 744 cmd_syslog_config_20201027.sh;
- 执行安装脚本:sh cmd_syslog_config_20201027.sh;
- 执行source /etc/profile指令,若看到如下提示则表示Syslog配置完成:
syslog restart complete!
syslog config complete!
Windows设备
Windows系统以管理员身份运行安装eventlog_win安装包。
注意详情可单击控制台右上角图标,下载“Windows代理下载”,安装包内包含相关说明。
规则配置
配置日志的解析接入规则:点击“风险分析 > 事件策略 > 解析接入规则”,目前已经配置常见的日志规则可在该页面中查看,若需要新增自定义规则,可单击“新增”进行配置。选择需要采集的设备类型和日志样本。
可对日志样本先进行一层过滤,如:通过正则表达式,过滤端口等信息。默认不过滤。
选择日志格式解析的方式:正则表达式解析、分隔符解析、key-value解析、json格式解析。优先为json>key-value>分隔符>正则表达式。
鼠标左击选中样本信息中需要提取的字段内容,选择对应字段,添加到字段列表中。
填写实际采集日志,验证日志解析规则是否添加有误(可跳过)。
最后检查保存即可。
配置告警规则:点击“风险分析 > 告警策略”,目前已经配置常见的告警规则可在该页面中查看,若需要新增自定义规则,可点击新增进行配置。
其中告警规则逻辑关系可选择and、or、fb、rule。
条件可引用菜单“风险分析 > 对象资源”的内容作为字段值引用。