在多雲環境中,安全日誌分散在不同雲廠商平台,導致難以進行統一的威脅檢測和應急響應。Security Center的威脅分析與響應 (CTDR)功能支援集中匯入並分析騰訊雲的安全產品日誌(如 WAF),協助您實現跨雲環境的統一安全管理。
工作流程
源端日誌匯聚:騰訊雲產品(如 WAF)的日誌統一匯聚到騰訊雲Log Service (CLS)。
資料匯出外發:通過 CLS 將日誌資料匯出至訊息佇列 (Kafka) 或Object Storage Service (COS),作為跨雲資料轉送的中轉節點。
跨雲資料匯入:CTDR 平台作為消費端,通過標準的 Kafka 或 S3 協議,從 DMS 或 COS 中訂閱並拉取日誌資料至指定資料來源。
接入與標準化:在 CTDR 平台內建立接入策略,並應用標準化規則,對拉取到的原始日誌進行解析、範式化處理後,最終存入資料倉儲。
適用範圍
本方案僅支援匯入騰訊雲的以下日誌類型:
Web Application Firewall (WAF)警示日誌
投遞日誌到 CLS
在匯入前,必須先將騰訊雲上分散的安全產品日誌統一投遞至雲Log Service(CLS)。
Web Application Firewall
詳細指引請參考騰訊雲官方文檔:WAF-日誌投遞 。
授權開通Log Service
登入 ,在或頁面,單擊立即配置,根據提示完成授權。
授權完成後,在日誌投遞頁面單擊立即建立。
重要授權後,系統將自動建立名為
waf_post_logset的日誌集。
開啟日誌投遞
為需要採集日誌開啟日誌投遞,詳情請參見 開啟日誌投遞。
開啟攻擊日誌投遞:在WAF控制台左側導覽列中,選擇執行個體管理,在執行個體詳情頁,開啟攻擊日誌投遞開關。
開啟訪問日誌投遞:
在WAF控制台左側導覽列中,選擇接入管理 > 網域名稱接入,單擊網域名稱操作列的更多 > 日誌投遞。
在進階設定視窗中,投遞目標選擇CLS,單擊儲存。
選擇匯入方案
將騰訊雲CLS 日誌匯入Security Center,可選擇Kafka協議消費或Object Storage Service (cos)方案。兩種方案在即時性、成本和配置複雜度上各有側重,可根據具體業務情境選擇。
對比項 | Kafka 協議消費 | Object Storage Service (COS) |
即時性 | 准即時。 | 分鐘級延遲。 |
配置複雜度 | 較低,需配置Kafka 協議消費。 | 較低,需配置COS 投遞任務。 |
成本構成 |
|
|
適用情境 | 對日誌分析即時性要求高,如需進行流式安全計算或快速警示響應。 | 對即時性要求不高,側重於成本效益、日誌歸檔或批量離線分析。 |
配置資料匯入
通過 Kafka 協議消費匯入
步驟1:在【騰訊雲】配置Kafka協議消費並擷取存取金鑰
建立從 CLS 到 Kafka 協議消費轉儲任務
詳細指引請參考騰訊雲官方文檔:使用 Kafka 協議消費日誌。
開啟 Kafka 協議消費
訪問騰訊雲-日誌主題頁面,並在左上方選擇對應的日誌儲存地區。
單擊目標日誌主題名稱,進入詳情頁。
Web Application Firewall:通常在
waf_post_logset日誌集下,詳情參見Web Application Firewall投遞至CLS。
單擊左側導覽列Kafka協議消費,在基本資料頁簽,單擊右側的編輯並開啟啟用狀態開關。參照如下說明,完成配置後,單擊確定。
資料範圍:歷史+最新。
消費資料格式:JSON(勾選不轉義)或原始內容。
資料壓縮格式:不壓縮。
外網消費:開啟。
服務日誌:開啟。
擷取串連 Kafka 服務所需的資訊
完成配置後,單擊查看消費者參數,擷取所需關鍵配置資訊:CLS外網服務地址(存取點)、使用者名稱、消費主題(topic)以便後續在Security Center授權訪問COS和建立資料匯入任務中使用。
參數
說明
外網訪問地址
格式:
kafkaconsumer-${region}.cls.tencentcs.com:9096。消費主題
kafka的topic。
使用者名稱
配置為
${LogSetID},即日誌集 ID。密碼
配置為
${SecretId}#${SecretKey}。
設定存取金鑰
使用主帳號密鑰:訪問騰訊雲-API密鑰管理頁面,單擊建立密鑰。並妥善儲存產生的
SecretId和SecretKey(下載CSV檔案或複製到本地檔案儲存)。更多資訊,請參考主帳號存取金鑰管理。說明API 金鑰或者專案密鑰均可使用。
使用子帳號密鑰:
在訪問管理主控台的 騰訊雲-策略頁面,建立最小存取權限策略,以保證密鑰使用安全。更多資訊請參考Kafka 協議消費授權、通過策略文法建立自訂策略。
{ "version": "2.0", "statement": [{ "action": [ "cls:PreviewKafkaRecharge", "cls:CreateKafkaRecharge", "cls:ModifyKafkaRecharge" ], "resource": "*", "effect": "allow" }] }訪問騰訊雲-使用者列表頁面,選擇已有子帳號或建立新的子帳號。
添加上一步建立的存取原則。
使用者詳情頁面API密鑰頁簽,單擊建立密鑰。並妥善保管產生的
SecretId和SecretKey(下載CSV檔案或複製到本地檔案儲存)。更多資訊,請參考子帳號存取金鑰管理。
步驟2:在【阿里雲】配置 Kafka 日誌匯入
授權Security Center訪問 Kafka
訪問Security Center控制台-系統設定-功能設定,在頁面左側頂部,選擇需防護資產所在的地區:中國內地或非中國內地。
在多云配置管理頁簽,選擇多云资产後,單擊新增授权。在彈出的面板中進行如下配置:
廠商:選擇 Apache。
接入方式:選擇 Kafka。
存取點:填寫騰訊雲kafka協議消費外網訪問地址。
使用者名稱:填寫騰訊雲kafka協議消費使用者名稱。
密碼:設定存取金鑰中帳號密鑰資訊拼接(SecretId#SecretKey)。
通訊協定:sasl_plaintext。
SASL 認證機制:plain。
配置同步策略
AK服務狀態檢查:設定Security Center自動檢查騰訊雲帳號存取金鑰有效性的時間間隔。可選“關閉”,表示不進行檢測。
建立資料匯入任務
建立資料來源
為騰訊雲日誌資料建立一個專屬CTDR 資料來源,若已建立請跳過此步驟。
訪問Security Center控制台-威脅分析與響應-接入中心,在頁面左側頂部,選擇需防護資產所在的地區:中國內地或非中國內地。
在資料來源頁簽,建立接收日誌的資料來源。具體操作請參見建立資料來源:日誌未接入Log Service(SLS)。
來源資料源類型:可選擇CTDR專屬資料擷取通道(推薦)或使用者側Log Service。
接入執行個體:建議建立日誌庫(Logstore),進行資料隔離。
在數據匯入頁簽,單擊新增數據匯入。在彈出的面板中進行如下配置:
終端節點:選擇騰訊雲kafka協議消費外網訪問地址。
Topics:選擇騰訊雲kafka協議消費的消費主題(topic)。
實值型別:參考CLS轉儲日誌的消費資料格式,對應關係如下:
轉儲格式
實值型別
JSON
json
原始內容
text
配置目標資料來源
資料來源名稱:選擇步驟1建立的資料來源。
目標Logstore:根據選擇的資料來源,自動拉取該資料來源下的日誌庫。
單擊確定儲存配置:匯入配置完成後,Security Center將自動從騰訊雲拉取日誌。
通過Object Storage Service COS 匯入
步驟1:在【騰訊雲】準備 COS 資料倉儲並擷取存取金鑰
建立從 CLS 到 COS 轉儲任務
詳細指引請參考騰訊雲官方文檔:建立COS投遞任務。
建立 COS 投遞任務:
訪問騰訊雲-日誌主題頁面,並在左上方選擇對應的日誌儲存地區。
單擊目標日誌主題名稱,進入詳情頁。
Web Application Firewall:通常在
waf_post_logset日誌集下,詳情參見Web Application Firewall投遞至CLS。
選擇左側導覽列投遞到COS後,單擊添加投遞配置。並按以下要求進行配置:
說明若日誌進行歸檔確認頁,單擊仍選擇投遞到COS按鈕即可。
基本配置:
投遞時間範圍:若想支援分析資料,請不要設定結束時間。
投遞檔案大小:設定投遞日誌觸發值,即日誌量累計到該值後才會將日誌投遞至投遞COS。
投遞間隔時間:設定日誌投遞時間間隔,即每隔該時間長度,將這段時間長度中的日誌,壓縮後投遞至COS。
重要投遞檔案大小和投遞間隔時間為或(OR)關係,即達到任意其中一個觸發條件時,開始投遞日誌至COS。
儲存桶配置:
進階配置:
消費資料格式:選擇JSON。
JSON:選擇不轉義。
擷取COS 儲存桶的訪問網域名稱(Endpoint)。
訪問騰訊雲-儲存桶列表,定位步驟3選擇的COS儲存桶。進入桶詳情頁,在網域名稱資訊地區擷取網域名稱資訊。
重要網域名稱資訊注意不包含儲存桶名稱,格式為:
cos.${region}.myqcloud.com。擷取桶訪問地址會在後續Security Center授權訪問COS、建立資料匯入任務中使用。
設定存取金鑰
使用主帳號密鑰:訪問騰訊雲-API密鑰管理頁面,單擊建立密鑰。並妥善儲存產生的
SecretId和SecretKey(下載CSV檔案或複製到本地檔案儲存)。更多資訊,請參考主帳號存取金鑰管理。說明API 金鑰或者專案密鑰均可使用。
使用子帳號密鑰:
在訪問管理主控台的 騰訊雲-策略頁面,建立最小存取權限策略,以保證密鑰使用安全。更多資訊請參考投遞 COS授權、通過策略文法建立自訂策略。
{ "version": "2.0", "statement": [ { "effect": "allow", "action": [ "cls:DescribeTopics", "cls:DescribeLogsets", "cls:DescribeIndex", "cls:CreateShipper" ], "resource": "*" }, { "effect": "allow", "action": [ "tag:DescribeResourceTagsByResourceIds", "tag:DescribeTagKeys", "tag:DescribeTagValues", "cls:ModifyShipper", "cls:DescribeShippers", "cls:DeleteShipper", "cls:DescribeShipperTasks", "cls:RetryShipperTask", "cls:DescribeShipperPreview", "cos:GetService", "cam:ListAttachedRolePolicies", "cam:AttachRolePolicy", "cam:CreateRole", "cam:DescribeRoleList" ], "resource": "*" } ] }訪問騰訊雲-使用者列表頁面,選擇已有子帳號或建立新的子帳號。
添加上一步建立的存取原則。
使用者詳情頁面API密鑰頁簽,單擊建立密鑰。並妥善儲存產生的
SecretId和SecretKey(下載CSV檔案或複製到本地檔案儲存)。更多資訊,請參考子帳號存取金鑰管理。
在【阿里雲】配置 COS 日誌匯入
在Security Center授權訪問COS
訪問Security Center控制台-系統設定-功能設定,在頁面左側頂部,選擇需防護資產所在的地區:中國內地或非中國內地。
在多云配置管理頁簽,選擇多云资产後,單擊新增授权,下拉選擇 IDC。在彈出的面板中進行如下配置:
廠商:選擇 AWS-S3。
接入方式:選擇S3 。
終端節點(Endpoint):COS 儲存桶的訪問網域名稱。
Access Key Id/Secret Access Key:設定存取金鑰。
配置同步策略
AK服務狀態檢查:設定Security Center自動檢查騰訊雲帳號存取金鑰有效性的時間間隔。可選“關閉”,表示不進行檢測。
建立資料匯入任務
訪問Security Center控制台-威脅分析與響應-接入中心,在頁面左側頂部,選擇需防護資產所在的地區:中國內地或非中國內地。
在數據匯入頁簽,單擊新增數據匯入。在彈出的面板中進行如下配置:
資料來源類型:S3。
終端節點:COS 儲存桶的訪問網域名稱。
桶(Bucket):CLS日誌轉存配置的COS儲存桶。
檔案路徑首碼過濾:通過檔案路徑首碼過濾S3檔案,用於準確定位待匯入的檔案。例如待匯入的檔案都在csv/目錄下,則可以指定首碼為csv/。檔案具體路徑,請參見COS 路徑。
說明強烈建議設定此參數。如果不設定,系統將遍曆整個 S3 Bucket。當 Bucket 內檔案數量巨大時,全量遍曆會嚴重影響匯入效率。
檔案路徑正則過濾:通過Regex篩選檔案,用於準確定位待匯入的檔案。預設為空白,表示不過濾。例如S3檔案為
testdata/csv/bill.csv,可以設定Regex為(testdata/csv/)(.*)。說明推薦與檔案路徑首碼過濾一起設定,提高效率。此配置與檔案路徑首碼過濾之前為“且(and)”的關係。
調整Regex的方法,請參見如何調試Regex。
資料格式:檔案的解析格式,如下所示。
CSV:分隔字元分割的文字檔,支援指定檔案中的首行為欄位名稱或手動指定欄位名稱。除欄位名稱外的每一行都會被解析為日誌欄位的值。
JSON:逐行讀取S3檔案,將每一行看作一個JSON對象進行解析。解析後,JSON對象中的各個欄位對應為日誌中的各個欄位。
單行文本:將S3檔案中的每一行解析為一條日誌。
跨行文本:多行模式,支援指定首行或者尾行的Regex解析日誌。
若選擇為CSV或跨行文本時,需額外設定相關參數,具體說明如下所示。
CSV
參數
說明
分隔字元
設定日誌的分隔字元,預設值為半形逗號(,)。
引號
CSV字串所使用的引號字元。
轉義符
配置日誌的轉義符,預設值為反斜線(\)。
日誌最大跨行數
當一條日誌跨多行時,需要指定最大行數,預設值為1。
首行作為欄位名稱
開啟開關後,將使用CSV檔案中的首行作為欄位名稱。例如提取下圖中的首行為日誌欄位的名稱。
跳過行數
指定跳過的日誌行數。例如設定為1,則表示從CSV檔案中的第2行開始採集日誌。
跨行文本
參數
說明
正則匹配位置
設定Regex匹配的位置,具體說明如下:
首行正則:使用Regex匹配一條日誌的行首,未匹配部分為該條日誌的一部分,直到達到最大行數。
尾行正則:使用Regex匹配一條日誌的行尾,未匹配部分為下一條日誌的一部分,直到達到最大行數。
Regex
根據日誌內容,設定正確的Regex。調整Regex的方法,請參見如何調試Regex。
最大行數
一條日誌最大的行數。
編碼格式:待匯入的S3檔案的編碼格式。支援GBK、UTF-8。
壓縮格式:根據OBS中設定的檔案壓縮格式,由系統自動檢測。
檔案修改時間過濾:從任務啟動時刻回溯30分鐘作為起始時間,匯入此後修改的所有檔案(含未來新增檔案)。
檢查新檔案周期:用於設定匯入任務定期掃描新檔案的時間間隔,任務將按此時間間隔自動掃描並匯入新增的檔案。
配置目標資料來源
資料來源名稱:選擇狀態正常的自訂資料來源(自訂Log Service/CTDR專屬資料擷取通道)。若無合適的資料來源,請參考資料來源,建立新的資料來源。
目標Logstore:根據選擇的資料來源,自動拉取該資料來源下的日誌庫。
單擊確定儲存配置:匯入配置完成後,Security Center將自動從騰訊雲拉取日誌。
分析匯入資料
資料成功匯入 SLS 後,還需要配置接入規則和檢測規則,才能讓Security Center對這些日誌進行分析。
建立新的接入策略
參考產品接入,建立新的接入策略,配置如下:
資料來源:選擇資料匯入任務中配置的目標資料來源。
標準化規則:CTDR提供了適配部分雲產品的內建標準化規則,可直接選用。
標準化方式:當接入日誌標準化為警示日誌時,僅支援“即時消費”方式標準化。
配置威脅檢測規則
根據安全需求,在規則管理中啟用或建立日誌檢測規則,才能對日誌進行分析、產出警示並產生安全事件。具體操作,請參見規則管理。
計費說明
本方案會涉及以下服務的費用,實施前請仔細閱讀各產品的計費文檔,做好成本預估。
騰訊雲側:
服務名稱
涉及費用項
計費參考文檔
Log Service( CLS)
日誌的儲存、讀寫費用等。
Object Storage Service(COS)
儲存容量、請求次數、公網流量等。
阿里雲側:費用組成取決於選擇的資料存放區方式。
說明威脅分析與響應(CTDR)計費說明,請參見威脅分析與響應訂用帳戶、威脅分析與響應隨用隨付。
Log Service(SLS)計費說明,請參見計費概述。
資料來源類型
CTDR 計費項目
SLS 計費項目
特別說明
CTDR專屬資料擷取通道
日誌接入費用。
日誌儲存、寫入費用。
說明以上均消耗日志接入流量。
除日誌儲存和寫入外的其他費用(如公網流量等)。
由CTDR 建立並管理 SLS 資源,因此日誌庫儲存和寫入費用由CTDR出賬。
使用者側Log Service
日誌接入費用,消耗日志接入流量。
日誌相關所有費用(包含日誌儲存和寫入、公網流量費用等)。
日誌資源全部由Log Service(SLS)管理,因此日誌相關費用,均由SLS出賬。
常見問題
資料匯入任務建立後,在 SLS 中看不到日誌資料怎麼辦?
檢查第三方雲側:登入騰訊雲控制台,確認日誌是否已成功產生並投遞/轉儲到您配置的 CLS、Kafka Topic 或Object Storage Service桶中。
檢查授權憑證:在Security Center的多雲資產頁面,檢查授權狀態是否正常。確認 Access Key 是否有效,密碼(特別是騰訊雲 Kafka 的
Id#Key拼接格式)是否正確。檢查網路連通性:如果是 Kafka 方案,請確認第三方雲的 Kafka 服務公網訪問已開啟,且安全性群組/防火牆規則已正確允許存取Security Center的服務 IP。
檢查資料匯入任務:在Security Center的資料匯入頁面,查看任務狀態和錯誤記錄檔,根據提示進行修正。
為什麼在阿里雲側新增授權時,要選擇
Apache或AWS-S3而不是騰訊雲?這是因為日誌匯入功能利用的是標準的相容協議,而非廠商特定的 API。
使用 IDC 代表協議廠商,Apache 代表 Kafka,AWS-S3 代表Object Storage Service。
騰訊雲授權配置,僅用於CTDR的威脅檢測規則與騰訊雲進行安全事件聯動(如封鎖 IP),不能實現日誌匯入。