tencent cloud

主机安全

动态与公告
产品动态
产品公告
新手指引
产品简介
产品概述
产品优势
基本概念
应用场景
关联产品
功能介绍与版本比较
购买指南
购买安全防护授权
购买日志分析服务
快速入门
操作指南
安全概览
资产概览
主机列表
资产指纹
漏洞管理
基线管理
文件查杀
异常登录
密码破解
恶意请求
高危命令
本地提权
反弹 Shell
Java 内存马
核心文件监控
网络攻击
勒索防御
日志分析
授权管理
告警设置
访问管理指引
混合云安装指引
新手常见问题
软件相关说明
功能行为描述
客户端进程说明
安全基线检测列表
JSON 格式告警数据解析
日志字段数据解析
客户端安装指引
安全评分说明
实践教程
漏洞自动修复
恶意文件处理
故障处理
Linux 入侵类问题排查思路
Windows 入侵类问题排查思路
Linux 客户端离线排查
Windows 客户端离线排查
异常登录的消息提醒
API 文档
History
Introduction
API Category
Asset Management APIs
Virus Scanning APIs
Abnormal Log-in APIs
Password Cracking APIs
Malicious Request APIs
High-Risk Command APIs
Local Privilege Escalation APIs
Reverse Shell APIs
Vulnerability Management APIs
New Baseline Management APIs
Baseline Management APIs
Advanced Defense APIs
Security Operation APIs
Expert Service APIs
Other APIs
Overview Statistics APIs
Settings Center APIs
Making API Requests
Intrusion Detection APIs
Data Types
Error Codes
常见问题
相关协议
Terms of Service
Service Level Agreement
数据处理和安全协议
联系我们
词汇表
文档主机安全操作指南日志分析

日志分析

PDF
聚焦模式
字号
最后更新时间: 2024-08-13 16:29:50
日志分析是主机安全防护解决方案的重要组成,提供主机相关安全事件日志,支持 SQL 检索与查询,并提供可视化报表与统计,帮助用户快速排查入侵、溯源定位等安全运营工作。本文档将为您介绍如何使用日志分析功能。

限制说明

可收集日志数据,受主机防护版本限制如下。
日志大类
日志类型
日志描述
支持版本
主机资产日志
主机信息
包含主机实例 ID、IP、操作系统、地域、VPC、实例状态、是否安装主机安全客户端等主机信息。
说明:
仅主机的“同步时间”变更,其余信息不变,不会产生日志流水。
全部主机
资产指纹
包含资源监控、账号、端口、软件应用、进程、数据库、Web 应用、Web 服务、Web 框架、Web 站点、Jar 包、启动服务、计划任务、环境变量、内核模块、系统安装包。
说明:
仅资产指纹的“数据更新时间”变更,其余信息不变,不会产生日志流水。
专业版、旗舰版
客户端上报日志
客户端上报
主机原始日志(包含如:系统认证和授权信息、系统安全信息、系统消息、系统审计信息等内容);DNS 日志、进程快照日志、网络五元组日志、文件监控日志、登录流水日志。
基础版及以上
告警日志
入侵检测
文件查杀(恶意文件)、文件查杀(异常进程)、异常登录、密码破解、恶意请求、高危命令、本地提权、反弹 Shell。
专业版、旗舰版
漏洞管理
应急漏洞、Linux 软件漏洞、Windows 系统漏洞、Web-CMS 漏洞、应用漏洞。
专业版、旗舰版
基线管理
安全基线。
专业版、旗舰版
高级防御
核心文件监控、Java 内存马、网络攻击
旗舰版
客户端相关
客户端离线、客户端卸载。
基础版及以上
使用日志投递功能,须先 购买腾讯云消息队列 Ckafka 实例,按照需要投递的日志量来选购对应 Ckafka 实例规格。
日志投递功能,仅支持使用一个消息队列 Ckafka 账号进行投递。
根据《网络安全法》规定,日志存储时长不少于6个月,推荐每台服务器配置20-40GB存储容量,以便采集和留存日志数据。

操作指南

1. 登录 主机安全控制台
2. 在左侧导航栏,选择日志分析,可进行日志查询、日志投递等操作。


日志存储

单击日志存储设置,弹窗如下,在存储设置中,可查看当前日志存储情况,可对存储内容、存储时长进行配置。在存储记录中,可查看历史每月最后一天零点日志存储的情况,默认倒序展示。




查看日志

在日志分析页面,支持按照如下方式筛选日志。
按时间或类型筛选:在日志分析页面上方,支持按时间和日志类型筛选日志,选定时间范围或日志类型,单击确定即可。

按字段值筛选:在日志分析页面上方,支持搜索框输入字段值筛选、选择字段匹配筛选两种方式。
搜索框输入字段值筛选:参考下图示例,在搜索框中输入想要搜索的字段和字段值,单击

即可进行筛选。

选择字段匹配筛选:单击

,在下拉列表中选择合适的字段和操作符,再输入对应的字段值,单击确定即可进行筛选。

说明:
针对常用的检索可保存检索 ,下次直接单击快速检索,选中要原先保存的检索内容进行筛选即可。
在日志分析页面,鼠标单击柱状图或单击后滑动,可快速选定时间范围,进行下钻查看。

在日志分析页面,在列表左侧的字段导航中,可自定义展示字段和隐藏字段。

单击导出,可将满足检索条件的日志导出为文件,并通过浏览器下载到本地。
说明:
单次最多支持导出60000条日志,最大支持每种类型导出10000条数据。

日志投递

在日志分析页面,您可配置主机安全不同日志类型分别投递到指定 Ckafka 实例的不同 Topic 中。
1. 单击左上角的日志投递,打开日志投递配置弹窗,首次若未授权 Ckafka 服务,须先单击前往授权,同意服务授权后才可进行更多日志投递配置。

2. 同意授权服务后,须选择消息队列实例、网络接入方式,输入所选消息队列实例的用户名和密码,并进行连通性测试。

3. 选择网络接入方式。
网络接入方式
描述
可选路由说明
公网域名接入
通过公网进行日志投递。
是消息队列实例中所定的接入方式。
支撑环境接入
通过腾讯云内网进行日志投递,性能更高。
是消息队列实例中所定的接入方式,但暂不支持 PLAINTEXT 接入方式。
内网投递
通过腾讯云内网进行日志投递,但路由无需用户在 ckafka 中进行配置,会自动创建一个不可见的内部路由来支持接入。
-
说明:
网络接入方式若选择“公网域名接入”、“支撑环境接入”,还需要选择接入路由,路由策略对应 Ckafka 实例列表 详情中的接入方式。

网络接入方式若选择“公网域名接入”、“支撑环境接入”,还需要填写 Ckafka 实例的用户名和密码,用户名密码在 Ckafka 实例列表 详情中的 ACL 策略管理 > 用户管理 添加。(在配置日志投递时,仅填写#后的用户名即可,无需填写#及其前的 Ckafka 实例 ID。)

4. 完成上述 Ckafka 配置后,可进行连通性测试,测试通过后,您可对要进行投递的日志配置不同的 Topic(不进行投递的日志类型,可以不选择 Topic ID)。



5. 日志投递配置完成后,再次单击日志投递,可查看日志投递详情。



基本信息:展示 Ckafka 实例的基本信息。
说明:
您需要关注“状态”字段,当展示告警或异常时,请单击查看监控,查看 Ckafka 服务是否异常,或者是否配额不足。
投递开关:用于控制指定的日志类型,启动或停止日志投递任务,您可以在投递开关列,通过开关按钮控制日志投递任务。
投递状态:正常、异常(此状态会中止投递)、未开启。
编辑:单击编辑,可再次编辑要投递的日志类型和 Topic ID。
查看监控:单击查看监控,会跳转至消息队列 Ckafka 控制台的监控页面,您可以查看网络流量、峰值带宽、消息条数、磁盘占用等情况。
重新配置:在日志投递列表上方,单击重新配置,将回到已同意 Ckafka 授权服务后的状态,您可对消息队列实例、网络接入方式、日志类型、Topic ID 等进行重新配置。
说明:
重新配置,会中断当前的投递进程。
上一篇: 勒索防御下一篇: 授权管理

帮助和支持

本页内容是否解决了您的问题?

填写满意度调查问卷,共创更好文档体验。

文档反馈