检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
步骤十二:测试验证 本章节介绍将非华为云日志接入安全云脑后,如何在安全云脑中测试验证日志是否接入成功。 表1 测试验证场景说明 场景 验证方法 华为云日志接入安全云脑 请在“安全分析”中查看是否存在已接入云服务日志。 安全云脑日志转出至第三方系统/产品 请在第三方系统/产品侧确认日志是否接收成功。
器无法正常运行,不断重启导致CPU、内存被占满。 问题定位 远程登录采集节点所在的ECS。 您可以登录弹性云服务器控制台,在“弹性云服务器”列表中,单击“远程登录”登录主机,详细操作请参见在云服务器控制台上登录主机。 如果您的主机已经绑定了弹性IP,您也可以使用远程管理工具(例如
待安装组件控制器(isap-agent)的ECS服务器与存储Agent的OBS桶之间网络不通 ECS服务器的磁盘空间不足 调用iamtoken请求,获取iamtoken失败 workspaceId校验失败 组件控制器(isap-agent)已经安装,系统仍将重复安装 原因排查及解决方法
动释放创建的ECS资源和VPC终端节点资源,避免继续计费。具体操作步骤如下: 释放ECS和VPC终端节点资源 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 释放用于采集数据的ECS资源。 在页面左上角单击,选择“计算 > 弹性云服务器”,进入弹性云服务器管理控制台。
志采集器节点(ECS)纳管到安全云脑。 安装组件控制器 在步骤五:网络连通配置执行后的页面中,单击页面右下角“下一步”,进入“脚本安装验证”页面。 单击复制安装组件控制器的命令。 图1 复制安装命令 安装组件控制器。 远程登录(可选)步骤一:购买ECS准备的ECS。 您可以登录弹
目前,数据采集的组件控制器支持运行在Linux系统x86_64和arm64架构的ECS主机上。 安装组件控制器时,在控制台中查看信息时,仅支持使用IAM账号登录,且需要进行权限设置,具体操作请参见新增节点前准备。 采集器规格 采集管理中,选作为节点的云服务器规格说明如下表所示: 表1 采集器规格 CPU内核数
按需计费适用于具有不能中断的短期、突增或不可预测的应用或服务,例如电商抢购、临时测试、科学计算。 适用计费项 以下计费项支持按需计费: 表1 适用计费项 计费项 说明 服务版本 安全云脑的版本,仅专业版支持按需购买。 配额数 设置的ECS主机配额数量。 增值包 安全大屏 随按需计费安全云脑版本的基础
应制定安全工程实施方案控制工程实施过程。 应通过第三方工程监理控制项目的实施过程。 测试验收 应制订测试验收方案,并依据测试验收方案实施测试验收,形成测试验收报告。 应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测试相关内容。 系统交付 应制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点。
“计算 > 弹性云服务器 ECS”。 在弹性云服务器ECS列表页面中,单击已有ECS名称,进入ECS详情页面。 查看已有ECS的可用区、规格、镜像、系统盘、数据盘信息。 图1 查看ECS信息 确认ECS系统盘是否大于等于50GB。 是:跳过(可选)步骤一:购买ECS,执行(可选)步骤二:购买数据磁盘。
资源规划 账户 具有安全云脑数据采集管理权限,且非管理员的IAM账户。 ECS规格要求 安装采集器(isap-agent + Logstash)的租户云服务器(ECS)规格要求如下表: 表1 ECS规格 CPU内核数 内存大小 系统磁盘存储大小 数据磁盘存储大小 采集器参考处理能力
查看数据盘是否已挂载在ECS中。 使用IAM管理员账号登录管理控制台。 单击管理控制台左上角的,选择区域或项目后,单击页面左上方的,选择“计算 > 弹性云服务器 ECS”。 在弹性云服务器页面中,单击符合条件的ECS名称,进入ECS详情页面。 选择“云硬盘”页签后,在云硬盘页面中查看是否已挂载符合要求的数据盘。
以下两种方案,选择其中一种执行漏洞修复: 方案一:创建新的虚拟机执行漏洞修复 为需要修复漏洞的ECS主机创建镜像,详细操作请参见通过云服务器创建整机镜像。 使用该镜像创建新的ECS主机,详细操作请参见通过镜像创建云服务器。 在新启动的主机上执行漏洞修复并验证修复结果。 确认修复完成之后将业务切换到新主机。
实施步骤 (可选)步骤一:购买ECS (可选)步骤二:购买数据磁盘 (可选)步骤三:挂载数据磁盘 步骤四:创建非管理员IAM账户 步骤五:网络连通配置 步骤六:安装组件控制器(isap-agent) 步骤七:安装日志采集组件(Logstash) (可选)步骤八:创建日志存储管道 步骤九:配置连接器
告警概述 告警是运维中的一种异常信号的通知,通常是由监控系统或安全设备在检测到系统或网络中的异常情况时自动生成的。例如,当服务器的CPU使用率超过90%时,系统可能会发出告警。这些异常情况可能包括系统故障、安全威胁或性能瓶颈等。 告警通常有明确的指示性,能够明确指出异常发生的位置
SecMaster_Agency 用于WAF相关剧本流程的执行 ECS ReadOnlyAccess 弹性云服务器的只读访问权限 SecMaster_Agency 用于订购时查询ECS数量和在基线检查功能中获取ECS安全配置信息 Anti-DDoS ReadOnlyAccess Anti-DDoS流量清洗服务只读权限
参考本实践的操作步骤处理即可。 第三方(非华为云)日志接入安全云脑 参考本实践的操作步骤处理即可。 日志采集原理 日志采集器节点作为中间节点,负责在安全云脑和租户服务器之间收集、上传、下发日志。 图1 安全云脑日志采集原理 基本概念 本部分介绍日志采集中涉及的基本概念的描述及其作用。 日志采集组件(Logstash):用于日志采集、日志传输。
安全运营中心 安全运营中心(Security Operations Center,SOC)一个集中式功能或团队,负责全天候检测端点、服务器、数据库、网络应用程序、网站和其他系统的所有活动,以实时发现潜在的威胁;对网络安全事件进行预防、分析和响应,以改进企业的网络安全态势。SOC还
中的信息资产,实时监测主机中的风险并阻止非法入侵行为,帮助企业构建服务器安全体系,降低当前服务器面临的主要安全风险。 护网/重保期间需要保证所有ECS主机均接入HSS,尤其是绑定了EIP、以及Web业务所在ECS,以提高主机安全风险防御能力。 查看方法如下: 登录安全云脑控制台,并进入目标工作空间管理页面。
以下两种方案,选择其中一种执行漏洞修复: 方案一:创建新的虚拟机执行漏洞修复 为需要修复漏洞的ECS主机创建镜像,详细操作请参见通过云服务器创建整机镜像。 使用该镜像创建新的ECS主机,详细操作请参见通过镜像创建云服务器。 在新启动的主机上执行漏洞修复并验证修复结果。 确认修复完成之后将业务切换到新主机。
格式转换,无码化将源日志转换成您需要的数据类型。 步骤十一:配置日志采集通道 完成各功能组件连接,实现安全云脑和日志采集器正常工作。 步骤十二:测试验证 测试验证日志是否接入成功。 父主题: 日志接入或转出操作指导
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
