检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
此处以日志数据来源类型为UDP、TCP为例进行介绍,更多连接类型介绍请参见连接器规则说明。 连接类型 UDP 表1 日志来源 参数名称 配置说明 连接方式 选择“来源”。 连接类型 选择“用户数据协议(Udp)”。 名称 自定义设置数据连接来源名称。 描述 自定义设置数据来源描述信息。
options运行内存优化配置。 jvm运行内存配置 图1 jvm.options 表1 jvm运行内存配置 配置项 配置类型 默认值 配置说明 -Djava.awt.headless boolean true 服务端配置,在缺少设备(键盘或鼠标等)下可运行,用于数据类服务 -X
解析器规则说明 租户采集功能主要使用定制化Logstash用于数据中转业务,解析器是对Logstash中filter部分的无码化封装。目前,支持如下类型的Logstash插件: 表1 支持的类型 解析器 对应Logstash中的插件 说明 kv解析 kv 键值对解析,解析规则请参见表2。
志采集器节点(ECS)纳管到安全云脑。 安装组件控制器 在步骤五:网络连通配置执行后的页面中,单击页面右下角“下一步”,进入“脚本安装验证”页面。 单击复制安装组件控制器的命令。 图1 复制安装命令 安装组件控制器。 远程登录(可选)步骤一:购买ECS准备的ECS。 您可以登录弹
“计算 > 弹性云服务器 ECS”。 在弹性云服务器ECS列表页面中,单击已有ECS名称,进入ECS详情页面。 查看已有ECS的可用区、规格、镜像、系统盘、数据盘信息。 图1 查看ECS信息 确认ECS系统盘是否大于等于50GB。 是:跳过(可选)步骤一:购买ECS,执行(可选)步骤二:购买数据磁盘。
连接器规则说明 源连接器 安全云脑租户采集连接器,目前支持的源连接器类型如下表所示: 表1 源连接器类型 连接器名称 对应的logstash插件 描述 传输控制协议 TCP tcp 用于接收TCP协议日志,配置规则请参见表2。 用户数据协议 UDP udp 用于接收UDP协议日志,配置规则请参见表3。
待安装组件控制器(isap-agent)的ECS服务器与存储Agent的OBS桶之间网络不通 ECS服务器的磁盘空间不足 调用iamtoken请求,获取iamtoken失败 workspaceId校验失败 组件控制器(isap-agent)已经安装,系统仍将重复安装 原因排查及解决方法
资源规划 账户 具有安全云脑数据采集管理权限,且非管理员的IAM账户。 ECS规格要求 安装采集器(isap-agent + Logstash)的租户云服务器(ECS)规格要求如下表: 表1 ECS规格 CPU内核数 内存大小 系统磁盘存储大小 数据磁盘存储大小 采集器参考处理能力
安全云脑提供有基础版、标准版、专业版供您选择,请根据您的需求进行选择,各版本的功能差异请参见产品功能。 配额数 配额数是指支持防护的最大ECS主机资产数量。 请根据当前账户下所有ECS主机资产总数设置配额数,可设置最大主机配额需等于或大于当前账户下主机总数量,且不支持减少。 说明: 配额数最大限制为10000台。
数量,且不支持减少。如果购买的最大配额小于主机数量,可能会造成未授权检测的主机被攻击后,不能及时感知威胁,造成数据泄露等风险。 主机配额配置说明如表1所示。 表1 主机配额参数说明 参数 说明 主机配额 主机资产支持防护的最大主机数量。 请根据当前账户下所有主机资产总数设置配额数
以下两种方案,选择其中一种执行漏洞修复: 方案一:创建新的虚拟机执行漏洞修复 为需要修复漏洞的ECS主机创建镜像,详细操作请参见通过云服务器创建整机镜像。 使用该镜像创建新的ECS主机,详细操作请参见通过镜像创建云服务器。 在新启动的主机上执行漏洞修复并验证修复结果。 确认修复完成之后将业务切换到新主机。
“故障”,并且该服务器的CPU使用率或内存使用率即将达到100%。 图1 采集节点故障 图2 采集通道故障 可能原因 用户配置的连接器或解析器在语法或者语义上存在错误,导致采集器无法正常运行,不断重启导致CPU、内存被占满。 问题定位 远程登录采集节点所在的ECS。 您可以登录弹
请选择与(可选)步骤一:购买ECS中ECS相同的区域。 可用区 请选择与(可选)步骤一:购买ECS中ECS相同的可用区。 挂载到云服务器 请选择“立即挂载”,并单击“选择云服务器”,再选择(可选)步骤一:购买ECS中已购买的ECS或当前已有的可用ECS后,单击“确定”。 计费模式
供日志采集、告警生成、聚合分析等能力。 购买配置说明: 安全分析免费赠送配额如表2所示,当赠送规格不够时,可以进行购买。 按需购买时,将根据实际使用量进行收费,无需进行规格配置。 包周期购买时,需要根据需求设置数据量,请参照表3配置说明进行购买。 表2 安全分析赠送规格说明 功能
参考本实践的操作步骤处理即可。 第三方(非华为云)日志接入安全云脑 参考本实践的操作步骤处理即可。 日志采集原理 日志采集器节点作为中间节点,负责在安全云脑和租户服务器之间收集、上传、下发日志。 图1 安全云脑日志采集原理 基本概念 本部分介绍日志采集中涉及的基本概念的描述及其作用。 日志采集组件(Logstash):用于日志采集、日志传输。
动释放创建的ECS资源和VPC终端节点资源,避免继续计费。具体操作步骤如下: 释放ECS和VPC终端节点资源 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 释放用于采集数据的ECS资源。 在页面左上角单击,选择“计算 > 弹性云服务器”,进入弹性云服务器管理控制台。
见HSS漏洞管理概述。 查看漏洞详情:介绍如何查看漏洞的详细信息。 修复漏洞:当扫描到服务器存在漏洞时,您需要及时根据漏洞的危害程度结合实际业务情况处理漏洞,避免漏洞被入侵者利用入侵您的服务器。如果漏洞对您的业务可能产生危害,建议您尽快修复漏洞。对于Linux漏洞、Windows
目前,数据采集的组件控制器支持运行在Linux系统X86架构的ECS主机上。 安装组件控制器时,在控制台中查看信息时,仅支持使用IAM账号登录,且需要进行权限设置,具体操作请参见新增节点前准备。 采集器规格 采集管理中,选作为节点的云服务器规格说明如下表所示: 表1 采集器规格 CPU内核数
安全运营中心 安全运营中心(Security Operations Center,SOC)一个集中式功能或团队,负责全天候检测端点、服务器、数据库、网络应用程序、网站和其他系统的所有活动,以实时发现潜在的威胁;对网络安全事件进行预防、分析和响应,以改进企业的网络安全态势。SOC还
Private Cloud,VPC)、弹性公网IP(Elastic IP,EIP)。 云外资产:非华为云云上资产,如本地服务器、IDC服务器或第三方云厂商的服务器等。 安全云脑对云上或云外资产的管理支持如下操作: 管理云上资产:设置资产订阅、查看资产信息、导入或导出资产、编辑或删除资产。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
