企业安全组流日志
Download
聚焦模式
字号
功能简介
企业安全组流日志将实时记录所有经过的安全组规则的流量情况,包括拦截和观察规则,可以配合企业安全组完成云上隔离和内网流量审计。
说明:
配置指引
企业安全组日志依赖网络流日志,需要从您的 CLS 中采集原始日志信息进行加工处理,所以需要您创建有 CLS 权限的角色并授权 CLS 采集网络流日志。
1. 使用主账号进入 访问管理-用户列表 页面,为防火墙日志投递任务创建专属 API 调用账号,创建新用户并赋予 CLS 的全读写权限(QcloudCLSFullAccess)更多详情请参见 创建子用户-快速创建。
2. 在 企业安全组(新) 页面,单击企业安全组日志的设置详情。
3. 在采集企业安全组日志页面,单击配置 CLS 日志服务的编辑,填写 SecurityID 和 SecurityKey 进行身份认证,单击保存。
4. 在 企业安全组(新) 页面,单击企业安全组日志的开关,启用流日志功能。
5. 单击设置详情,开启需要采集内网间流量的 VPC 开关。
实践教程
场景一:审计企业安全组(新)拦截命中
当出现流量被企业安全组(新)拦截的情况,需要定位具体是哪一条规则导致了阻断时,排查流程应聚焦于命中阻断策略的企业安全组(新),并最终确定是哪一条具体的规则拦截了流量。
1. 在 企业安全组(新)页面,单击设置详情,打开需要排查的 VPC 对应开关。
2. 企业安全组(新)会自动记录安全组的阻断命中日志。
3. 复现被拦截的流量连接请求,在 访问控制日志-企业安全组 流日志中,根据访问源/访问目的进行筛选,定位命中阻断策略的安全组规则。
场景二:VPC 内(子网间、子网内)流量监控
监控所有 VPC 内的流量,包括子网间、子网内的流量。
1. 在 企业安全组(新)页面,单击设置详情,打开需要排查的 VPC 对应开关。
2. 企业安全组流日志会自动记录该 VPC 内所有流量情况,包括子网间访问流量和子网内流量。
3. 在 流量日志-内网流量日志 页面,对子网间、子网内的流量进行记录排查。
场景三:VPC 间流量监控
监控所有进出 VPC 的内网流量。
1. 在 企业安全组(新)页面,单击设置详情,打开需要排查的 VPC 对应开关。
2. 企业安全组流日志会自动记录进出该 VPC 内所有流量情况。
3. 在 流量日志-内网流量日志 页面,对该 VPC 的进出流量进行记录排查。
文档反馈