日志转发
更新时间 2025-08-15 17:41:49
最近更新时间: 2025-08-15 17:41:49
本章节为您介绍如何将日志转发到外部服务器,以及日志字段说明。
日志转发是指将日志数据从日志审计服务实时或准实时地传输到外部服务器的过程,支持转发业务日志、操作日志、告警日志。
新增日志转发任务
登录日志审计实例控制台。
在左侧导航栏选择“系统配置 > 日志转发”,进入“日志转发”页面。
根据业务需求,选择需要转发的日志或告警,单击“新增”按钮。
在弹出的窗口中填写相关参数。
参数 说明 名称 自定义名称,不超过50个字符长度。 数据过滤规则 通过配置过滤参数,筛选要转发的日志:
业务日志转发:支持通过事件名称、设备IP、设备类型、事件等级、事件分组字段进行筛选。
- 操作日志转发:不涉及。
- 告警日志转发:支持通过源/目的IP、源/目的端口、告警名称、告警大/小类、告警等级、开始/结束时间进行筛选。
描述 自定义内容,不超过512个字符长度。 日志发送类型 可选udp和kafka方式,配置后该参数不可修改。
udp转发方式:支持添加多个目标。
目标地址:请输入合法的IP地址,暂不支持IPv6地址。
目标端口:请输入1~65535之间的端口。
Kafka转发方式:
IP:请输入合法的IP地址,暂不支持IPv6地址。
端口:请输入1~65535之间的端口。
发送Topic:Kafka的Topic。
协议:支持PLANINTEXT和SSL/TLS协议。
若选择SSL/TLS协议,还需要配置如下参数:
Keystore文件:仅支持上传.jks类型文件。
Keystore.Password:请输入正确的Keystore认证密码。
Key.Password:请输入正确的Key认证密码。
Truststore文件:仅支持上传.jks类型文件。
Truststore.Password:请输入正确的Truststore认证密码。
填写完成后单击“提交”即可。
日志格式说明
业务日志
外发采集到的日志原文,请前往日志源服务查看日志说明。
告警日志
日志示例:
{ "from_ana_single": { "alarm_name": "新增账号告警", "alert_source": "9", "alarm_level": "1", "merge_way": "1,4", "alert_type": "180", "alert_type_sub": "1802", "attack_stage": "4", "protocol": "", "alert_count": "1", "rule_id": "9", "reliability": "80", "success_tag": "1", "src_ip": "", "src_port": "0", "dst_ip": "192.168.101.3", "dst_port": "0", "signature": "", "cve_id": "", "file_name": "", "file_path": "", "file_md5": "", "url": "", "cookie": "", "user_name": "test", "process_name": "", "mail_from": "", "mail_to": "", "src_zone": "", "dst_zone": "", "status_tag": "0", "rectification": "", "index_name": "", "occur_time": "2025-08-05 11:12:35", "update_time": "2025-08-05 11:12:35", "description": "新增账号告警", "event_type_count": "1", "event_count": "1", "vul_id": "", "componentId": "1", "user_group": "", "domain": "", "class_dga": "", "attack_result": "", "is_white": "", "attack_type": "", "payload": "", "attack_main_type": "" } }日志字段说明:
| 日志字段 | 说明 |
|---|---|
| alarm_name | 告警名称 |
| alarm_level | 告警等级
|
| alert_source | 告警来源 |
| merge_way | 归并方式 |
| alert_type | 告警类型 |
| alert_type_sub | 告警小类 |
| attack_stage | 攻击链阶段 |
| protocol | 协议 |
| alert_count | 告警次数 |
| rule_id | 告警规则ID |
| reliability | 可信度。取值范围0-100,数字越大,代表可信度越高。 |
| success_tag | 攻击是否成功
|
| src_ip | 源IP |
| src_port | 源端口 |
| dst_ip | 目的IP |
| dst_port | 目的端口 |
| signature | 特征码 |
| cve_id | CVEID |
| file_name | 文件名 |
| file_path | 文件路径 |
| file_md5 | 文件MD5 |
| url | URL |
| cookie | Cookie |
| user_name | 登录用户名 |
| process_name | 进程名称 |
| mail_from | 发件人地址 |
| mail_to | 收件人地址 |
| src_zone | 源域 |
| dst_zone | 目的域 |
| status_tag | 告警的状态
|
| rectification | 整改建议 |
| index_name | 索引名称 |
| occur_time | 发生时间 |
| update_time | 更新时间 |
| description | 规则描述 |
| event_type_count | 事件类型数量 |
| event_count | 事件次数 |
| vul_id | 漏洞ID |
| componentId | 组件ID |
| user_group | 用户组 |
| domain | 域名 |
| class_dga | dga域名 |
| attack_result | 攻击结果 |
| is_white | 是否白名单 |
| attack_type | 攻击类型 |
| payload | payload |
| attack_main_type | 攻击主类型 |
操作日志
日志示例:
{"LOG_ID":"389","MODULE_NAME":"首页模块管理","OPERATION_CONTENT":"查询首页模块","OPERATION_TYPE":"sys","SUCCESS_TAG":"1","IP_ADDRESS":"10.144.243.22, 100.126.9.148","VALID_TAG":"","USER_ID":"1","CREATE_TIME":"2025-08-14 16:33:20","REQUEST_PARAM":"请求路径=/homePage/realTimeAlarm; beanName=com.soc.cloud.homepage.controller.HomePageController; IP地址=10.144.243.22, 100.126.9.148; 方法名=getRealTimeAlarm","REVIEWER":""}日志字段说明:
| 日志字段 | 说明 |
|---|---|
| LOG_ID | 日志ID |
| MODULE_NAME | 操作模块名称 |
| OPERATION_CONTENT | 操作内容 |
| OPERATION_TYPE | 操作类型 |
| SUCCESS_TAG | 是否成功
|
| IP_ADDRESS | 来源IP地址 |
| USER_ID | 操作用户 |
| CREATE_TIME | 操作时间 |
