操作场景
态势感知(专业版)支持一键接入多种云产品的日志数据。接入后,可以统一管理日志信息,以及检索并分析所有收集到的日志。
说明
建议将态势感知(专业版)管理的资产以及资产的告警、基线检查结果、漏洞数据、日志数据接入同一个工作空间,便于统一运营,进行安全分析关联。
约束与限制
日志接入操作成功后,日志数据订阅预计在十分钟内生效。
态势感知(专业版)支持一键接入CFW日志数据,若接入的是新购买的CFW的日志数据,由于日志上报存在一定的延迟,如果您当天在态势感知(专业版)执行了接入CFW日志操作,则将会隔天才能在态势感知(专业版)中查看到上报的CFW日志数据。
接入云服务日志
登录管理控制台。
单击页面左上方的
,选择“安全 > 态势感知(专业版)”,进入态势感知(专业版)管理页面。在左侧导航栏选择“工作空间 > 空间管理”,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
在左侧导航栏选择“日志审计 > 云服务接入”,进入云服务日志接入页面。
在云服务日志接入页面,配置日志接入。请根据当前region已开通云服务按需进行接入。
一键接入多个云服务产品的日志,在云服务日志接入页面,单击“一键接入”按钮,右侧弹出“一键接入”配置页面。在一键接入配置页面,下拉选择数据源区域,下拉勾选需要接入的云服务日志。配置完成后,单击右下角“确定”,完成设置。
云服务日志接入也支持设置单个云产品的日志接入。在云服务接入管理页面,单击云服务产品所在行操作列的“设置”,右侧弹出日志接入设置配置页面。
在设置页面,根据需要配置接入开关。
参数名称 参数说明 日志类型 日志的类型。 日志接入 设置日志接入开关。按钮打开表示日志接入态势感知(专业版)。 自动转告警 在“自动转告警”列,单击 ,开启后,当接入的云服务日志满足告警触发条件时,自动转为告警,并且在“告警管理”页面中进行展示。
生命周期 日志接入后的存储时长。 日志状态 日志接入的状态。
- 已接入:日志已接入且执行成功。
- 未接入:日志未接入。
- 接入失败:日志接入且执行失败。
最近活跃时间 最近日志接入时间,即活跃时间。 操作 单击“编辑”,可设置该日志类型的生命周期,单位天。生命周期指的是日志接入后的存储时长。 云服务日志接入配置完成后,在“日志审计> 云服务接入”页面可查看云服务产品的日志接入状态。
说明
操作成功后,日志数据订阅预计在十分钟内生效。接入完成后,将创建默认数据空间和管道。
查看日志数据的存储位置
日志数据接入完成后,请前往安全分析的安全数据表页面查看接入的日志数据:
在左侧导航栏选择“日志审计 > 安全数据”,进入安全分析页面。
在左侧数据空间导航栏中,单击数据空间名称,展开数据管道列后,再单击管道名称,右侧将显示管道数据的检索页面。
在管道数据检索页面即可查看接入的日志数据。
相关操作
取消数据接入
在云服务接入管理页面,单击待取消接入云服务产品所在行操作列的“设置”,右侧弹出日志接入设置配置页面。
在设置页面,单击“日志接入”列的
,关闭接入的云服务日志。
编辑数据接入生命周期
在云服务接入管理页面,单击对应云服务产品所在行操作列的“设置”,右侧弹出日志接入设置配置页面。
在设置页面,单击日志所在行操作列的“编辑”按钮。
在弹出的编辑页面,修改“生命周期”配置,输入生命周期时间。
修改完成后,单击“确定”。
取消自动转告警
在云服务接入管理页面,单击对应云服务产品所在行操作列的“设置”,右侧弹出日志接入设置配置页面。
在设置页面,单击“自动转告警”列的
,关闭告警映射。
