安主机日志实时分析功能
背景介绍
在当今信息化飞速发展的时代,网络信息安全形势日益严峻,企业需要确保其IT设备和系统的日志能够被有效采集、存储和管理,以应对各种潜在的安全威胁和合规需求,安骑士主机日志实时分析功能正是为了解决这一需求而设计的,安骑士是一款经受百万级服务器稳定性考验的安全加固产品,具备自动化实时入侵威胁检测、病毒查杀、漏洞智能修复等功能,而日志服务则提供了一站式的日志数据采集、消费、投递以及查询分析能力。
功能
安骑士与日志服务打通后,可以对外开放平台依赖或者产生的日志,包括主机和安全共11种子类日志,这些日志涵盖登录、网络连接、进程启动等多个方面,能够帮助企业全面了解系统运行状态,及时发现异常行为,通过日志服务的实时采集与存储功能,用户可以将这些日志数据自动采集并存储起来,便于后续的查询和分析。
配置步骤
前提条件
已开通日志服务。
已开通安骑士服务企业版本或更高版本。
具体步骤
步骤1:准备Project和Logstore
在日志服务控制台中创建一个项目(Project)和对应的Logstore,用于存放相关的安骑士日志。aegis_log。
步骤2:日志采集授权
在日志服务控制台中选择Logstore的数据接入向导,选择“安骑士日志”,点击下一步,在数据源配置页面中单击快捷授权为日志服务授权,授权后日志服务有权限将安骑士日志分发到您的logstore中。
步骤3:配置查询分析
继续上面的步骤,选择下一步后进入查询分析 & 可视化页面,日志服务已预设了安骑士日志所需的查询索引,字段说明请查看安骑士日志格式,确认后单击下一步,系统默认为您创建3个特定的仪表盘,配置完成后您可以在仪表盘页面查看。
步骤4:关联安骑士日志
在安骑士控制台中,从导航菜单中选择【日志检索】 > 【日志投递】,打开特定日志的投递开关,并选择步骤1中准备好的Project和Logstore,也可以在态势感知控制台中进行类似操作。
使用场景
追踪主机登录、进程启动、网络链接:通过日志服务的日志库进行交互式查询,支持标准SQL92语法及扩展分析函数,帮助企业溯源安全威胁。
实时查看主机活动:利用内置报表洞察主机和安全状况,甚至免费构建自己的报表大盘。
快速了解安全运营效率:查看内置运营活动报表,基于特定条件建立个性化告警通知,第一时间处理安全问题。
输出安全网络日志到自建数据与计算中心:支持多种形式将日志导出到SOC、OSS或流式计算引擎中。
注意事项
安骑士所存储的日志库属于专属的日志库,用户无法通过API/SDK等方式写入数据或修改日志库属性。
其他日志库的功能如查询、统计、报警、流式消费等均支持与一般日志库无差别。
日志服务对专属日志库不进行任何收费,但日志服务本身需处于可用状态(不超期欠费)。
内置的报表可能会在未来更新并升级。
安主机日志实时分析功能为企业提供了强大的日志管理和分析能力,有助于提高运维和运营效率,保障信息系统的安全性和合规性,通过合理的配置和使用,企业可以更好地应对日益复杂的网络环境,实现更加高效的安全管理。
相关问题与解答
问题1:如何更改安骑士日志库的属性?
答:安骑士所存储的日志库属于专属的日志库,用户无法通过API/SDK等方式写入数据或修改日志库属性,如果需要更改相关设置,建议联系阿里云技术支持获取帮助。
答:是的,日志服务支持多种告警模式(例如钉钉、短信等),并支持自定义告警内容模板,用户可以根据自己的需求设置个性化的告警通知,以便第一时间处理安全问题。
以上就是关于“安主机日志实时分析功能”的问题,朋友们可以点击主页了解更多内容,希望可以够帮助大家!
原创文章,作者:K-seo,如若转载,请注明出处:https://www.kdun.cn/ask/658440.html
微信扫一扫 