检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
单击管理控制台左上角的,选择区域或项目后,单击页面左上方的,选择“计算 > 弹性云服务器 ECS”。 在弹性云服务器列表页面中,单击已有或已购ECS名称,进入ECS详情页面。 查看已有或已购ECS的可用区、规格、镜像、系统盘、数据盘信息。 图1 查看ECS信息 确认ECS系统盘是否大于等于50GB。 是:跳过该步骤,执行(可选)步骤二:购买数据磁盘。
节点(ECS)纳管到安全云脑。 操作步骤 在步骤五:网络连通配置执行后的页面中,单击页面右下角“下一步”,进入“脚本安装验证”页面。 选择云服务器系统,根据安装系统,并单击复制安装组件控制器的命令。 图1 复制安装命令 安装组件控制器。 远程登录(可选)步骤一:购买ECS准备的ECS。
磁盘购买参数说明 参数名称 配置说明 区域 请选择与(可选)步骤一:购买ECS中相同的区域。 可用区 请选择与(可选)步骤一:购买ECS中相同的可用区。 挂载到云服务器 请选择“立即挂载”,并单击“选择云服务器”,再选择(可选)步骤一:购买ECS中的ECS后,单击“确定”。 计费模式
日志是否接入成功。 操作步骤 手动触发生成日志。 远程登录(可选)步骤一:购买ECS的ECS。 您可以登录弹性云服务器控制台,在“弹性云服务器”列表中,单击“远程登录”登录主机,详细操作请参见在云服务器控制台上登录主机。 如果您的主机已经绑定了弹性IP,您也可以使用远程管理工具(
桶之间网络不通 ECS服务器的磁盘空间不足 调用iamtoken请求,获取iamtoken失败 workspaceId校验失败 组件控制器(isap-agent)已经安装,系统仍将重复安装 原因排查及解决方法 待安装组件控制器(isap-agent)的ECS服务器与存储Agent的OBS桶之间网络不通
此处以日志数据来源类型为UDP、TCP为例进行介绍,更多连接类型介绍请参见连接器规则说明。 连接类型 UDP 表1 日志来源 参数名称 配置说明 连接方式 选择“来源”。 连接类型 选择“用户数据协议(Udp)”。 名称 自定义设置数据连接来源名称。 描述 自定义设置数据来源描述信息。
options运行内存优化配置。 jvm运行内存配置 图1 jvm.options 表1 jvm运行内存配置 配置项 配置类型 默认值 配置说明 -Djava.awt.headless boolean true 服务端配置,在缺少设备(键盘或鼠标等)下可运行,用于数据类服务 -X
供日志采集、告警生成、聚合分析等能力。 购买配置说明: 安全分析免费赠送配额如表2所示,当赠送规格不够时,可以进行购买。 按需购买时,将根据实际使用量进行收费,无需进行规格配置。 包周期购买时,需要根据需求设置数据量,请参照表3配置说明进行购买。 表2 安全分析赠送规格说明 功能
资源规划 账户 具有安全云脑数据采集管理权限,且非管理员的IAM账户。 ECS规格要求 安装采集器(isap-agent + logstash)的租户云服务器(ECS)规格要求如下表: 表1 ECS规格 CPU内核数 内存大小 系统磁盘存储大小 数据磁盘存储大小 采集器参考处理能力
安全云脑提供有基础版、标准版、专业版供您选择,请根据您的需求进行选择,各版本的功能差异请参见产品功能。 配额数 配额数是指支持防护的最大ECS主机资产数量。 请根据当前账户下所有ECS主机资产总数设置配额数,可设置最大主机配额需等于或大于当前账户下主机总数量,且不支持减少。 说明: 配额数最大限制为10000台。
以下两种方案,选择其中一种执行漏洞修复: 方案一:创建新的虚拟机执行漏洞修复 为需要修复漏洞的ECS主机创建镜像,详细操作请参见通过云服务器创建整机镜像。 使用该镜像创建新的ECS主机,详细操作请参见通过镜像创建云服务器。 在新启动的主机上执行漏洞修复并验证修复结果。 确认修复完成之后将业务切换到新主机。
数量,且不支持减少。如果购买的最大配额小于主机数量,可能会造成未授权检测的主机被攻击后,不能及时感知威胁,造成数据泄露等风险。 主机配额配置说明如表1所示。 表1 主机配额参数说明 参数 说明 主机配额 主机资产支持防护的最大主机数量。 请根据当前账户下所有主机资产总数设置配额数
连接器规则说明 源连接器 安全云脑租户采集连接器,目前支持的源连接器类型如下表所示: 表1 源连接器类型 连接器名称 对应的logstash插件 描述 传输控制协议 TCP tcp 用于接收TCP协议日志,配置规则请参见表2。 用户数据协议 UDP udp 用于接收UDP协议日志,配置规则请参见表3。
解析器规则说明 租户采集功能主要使用定制化logstash用于数据中转业务,解析器是对logstash中filter部分的无码化封装。目前,支持如下类型的logstash插件: 表1 支持的类型 解析器 对应logstash中的插件 说明 kv解析 kv 键值对解析,解析规则请参见表2。
“故障”,并且该服务器的CPU使用率或内存使用率即将达到100%。 图1 采集节点故障 图2 采集通道故障 可能原因 用户配置的连接器或解析器在语法或者语义上存在错误,导致采集器无法正常运行,不断重启导致CPU、内存被占满。 问题定位 远程登录采集节点所在的ECS。 您可以登录弹
在资源列表中找到用于采集数据ECS资源,并在目标ECS资源所在行“操作”列的“更多 > 退订”或“更多 > 删除”。 图1 退订ECS 在弹出的确认框中,根据界面提示进行退订/删除ECS资源处理,完成ECS资源释放操作。 释放用于连通和管理采集节点的VPC终端节点资源。 在页面左上角单击,选择“安全与合规
目前,数据采集的组件控制器支持运行在Linux系统x86_64和arm64架构的ECS主机上。 安装组件控制器时,在控制台中查看信息时,仅支持使用IAM账号登录,且需要进行权限设置,具体操作请参见新增节点前准备。 采集器规格 采集管理中,选作为节点的云服务器规格说明如下表所示: 表1 采集器规格 CPU内核数
PIPE:将当前管道数据投递到本账号其他管道或其他账号的管道中,请根据您的需要进行选择配置。 本账号投递:将当前管道数据投递到本账号的其他管道中,参数配置说明如表3所示。 表3 配置数据目的-本账号PIPE 参数名称 参数说明 账号类型 选择数据投递目的地的账号类型,此处选择“本账号”。 投递类型
如果需要将华为云云服务日志接入安全云脑,可以直接在安全云脑中一键接入,具体操作请参见接入云服务日志。 日志采集原理 日志采集器节点作为中间节点,负责在安全云脑和租户服务器之间收集、上传、下发日志。 图1 安全云脑日志采集原理 基本概念 本部分介绍日志采集中涉及的描述及其作用。 日志采集组件(logstash):用于日志采集、日志传输。
需要将符合条件的数据磁盘挂载在已有的符合条件的ECS上,保障日志采集器有足够的运行空间。以下任一场景也无需执行此步骤: 参考(可选)步骤一:购买ECS购买的ECS,则在购买时已经了购买符合条件的ECS和数据磁盘,且磁盘已挂载到ECS,无需执行此步骤。 已有符合条件的ECS(没有参考(可选)步骤一:购买ECS进行购买)
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
