在多雲環境中,安全日誌分散在不同雲廠商平台,導致難以進行統一的威脅檢測和應急響應。Security Center的Agentic SOC功能支援集中匯入並分析騰訊雲的安全產品日誌(如 WAF),協助您實現跨雲環境的統一安全管理。
工作流程
源端日誌匯聚:騰訊雲產品(如 WAF)的日誌統一匯聚到騰訊雲Log Service (CLS)。
資料匯出外發:通過 CLS 將日誌資料匯出至訊息佇列 (Kafka) 或Object Storage Service (COS),作為跨雲資料轉送的中轉節點。
跨雲資料匯入:Agentic SOC 平台作為消費端,通過標準的 Kafka 或 S3 協議,從 DMS 或 COS 中訂閱並拉取日誌資料至指定資料來源。
接入與標準化:在 Agentic SOC 平台內建立接入策略,並應用標準化規則,對拉取到的原始日誌進行解析、範式化處理後,最終存入資料倉儲。
適用範圍
本方案僅支援匯入騰訊雲的以下日誌類型:
Web Application Firewall (WAF)警示日誌
投遞日誌到 CLS
在匯入前,必須先將騰訊雲上分散的安全產品日誌統一投遞至雲Log Service(CLS)。
Web Application Firewall
詳細指引請參考騰訊雲官方文檔:WAF-日誌投遞 。
授權開通Log Service
登入 ,在或頁面,單擊立即配置,根據提示完成授權。
授權完成後,在日誌投遞頁面單擊立即建立。
重要授權後,系統將自動建立名為
waf_post_logset的日誌集。
開啟日誌投遞
為需要採集日誌開啟日誌投遞,詳情請參見 開啟日誌投遞。
開啟攻擊日誌投遞:在WAF控制台左側導覽列中,選擇執行個體管理,在執行個體詳情頁,開啟攻擊日誌投遞開關。
開啟訪問日誌投遞:
在WAF控制台左側導覽列中,選擇接入管理 > 網域名稱接入,單擊網域名稱操作列的更多 > 日誌投遞。
在進階設定視窗中,投遞目標選擇CLS,單擊儲存。
選擇匯入方案
將騰訊雲CLS 日誌匯入Security Center,可選擇Kafka協議消費或Object Storage Service (cos)方案。兩種方案在即時性、成本和配置複雜度上各有側重,可根據具體業務情境選擇。
對比項 | Kafka 協議消費 | Object Storage Service (COS) |
即時性 | 准即時。 | 分鐘級延遲。 |
配置複雜度 | 較低,需配置Kafka 協議消費。 | 較低,需配置COS 投遞任務。 |
成本構成 |
|
|
適用情境 | 對日誌分析即時性要求高,如需進行流式安全計算或快速警示響應。 | 對即時性要求不高,側重於成本效益、日誌歸檔或批量離線分析。 |
配置資料匯入
通過 Kafka 協議消費匯入
步驟1:在【騰訊雲】配置Kafka協議消費並擷取存取金鑰
建立從 CLS 到 Kafka 協議消費轉儲任務
詳細指引請參考騰訊雲官方文檔:使用 Kafka 協議消費日誌。
開啟 Kafka 協議消費
訪問騰訊雲-日誌主題頁面,並在左上方選擇對應的日誌儲存地區。
單擊目標日誌主題名稱,進入詳情頁。
Web Application Firewall:通常在
waf_post_logset日誌集下,詳情參見Web Application Firewall投遞至CLS。
單擊左側導覽列Kafka協議消費,在基本資料頁簽,單擊右側的編輯並開啟啟用狀態開關。參照如下說明,完成配置後,單擊確定。
資料範圍:歷史+最新。
消費資料格式:JSON(勾選不轉義)或原始內容。
資料壓縮格式:不壓縮。
外網消費:開啟。
服務日誌:開啟。
擷取串連 Kafka 服務所需的資訊
完成配置後,單擊查看消費者參數,擷取所需關鍵配置資訊:CLS外網服務地址(存取點)、使用者名稱、消費主題(topic)以便後續在Security Center授權訪問COS和建立資料匯入任務中使用。
參數
說明
外網訪問地址
格式:
kafkaconsumer-${region}.cls.tencentcs.com:9096。消費主題
kafka的topic。
使用者名稱
配置為
${LogSetID},即日誌集 ID。密碼
配置為
${SecretId}#${SecretKey}。
設定存取金鑰
使用主帳號密鑰:訪問騰訊雲-API密鑰管理頁面,單擊建立密鑰。並妥善儲存產生的
SecretId和SecretKey(下載CSV檔案或複製到本地檔案儲存)。更多資訊,請參考主帳號存取金鑰管理。說明API 金鑰或者專案密鑰均可使用。
使用子帳號密鑰:
在訪問管理主控台的 騰訊雲-策略頁面,建立最小存取權限策略,以保證密鑰使用安全。更多資訊請參考Kafka 協議消費授權、通過策略文法建立自訂策略。
{ "version": "2.0", "statement": [{ "action": [ "cls:PreviewKafkaRecharge", "cls:CreateKafkaRecharge", "cls:ModifyKafkaRecharge" ], "resource": "*", "effect": "allow" }] }訪問騰訊雲-使用者列表頁面,選擇已有子帳號或建立新的子帳號。
添加上一步建立的存取原則。
使用者詳情頁面API密鑰頁簽,單擊建立密鑰。並妥善保管產生的
SecretId和SecretKey(下載CSV檔案或複製到本地檔案儲存)。更多資訊,請參考子帳號存取金鑰管理。
步驟2:在【阿里雲】配置 Kafka 日誌匯入
授權Security Center訪問 Kafka
訪問Security Center控制台-系統設定-功能設定,在頁面左側頂部,選擇需防護資產所在的地區:中國內地或非中國內地。
在多云配置管理頁簽,選擇多云资产後,單擊新增授权。在彈出的面板中進行如下配置:
廠商:選擇 Apache。
接入方式:選擇 Kafka。
存取點:填寫騰訊雲kafka協議消費外網訪問地址。
使用者名稱:填寫騰訊雲kafka協議消費使用者名稱。
密碼:設定存取金鑰中帳號密鑰資訊拼接(SecretId#SecretKey)。
通訊協定:sasl_plaintext。
SASL 認證機制:plain。
配置同步策略
AK服務狀態檢查:設定Security Center自動檢查騰訊雲帳號存取金鑰有效性的時間間隔。可選“關閉”,表示不進行檢測。
建立資料匯入任務
建立資料來源
為騰訊雲日誌資料建立一個專屬Agentic SOC 資料來源,若已建立請跳過此步驟。
訪問Security Center控制台-Agentic SOC-接入中心,在頁面左側頂部,選擇需防護資產所在的地區:中國內地或非中國內地。
在資料來源頁簽,建立接收日誌的資料來源。具體操作請參見建立資料來源:日誌未接入Log Service(SLS)。
來源資料源類型:可選擇CTDR專屬資料擷取通道(推薦)或使用者側Log Service。
接入執行個體:建議建立日誌庫(Logstore),進行資料隔離。
在數據匯入頁簽,單擊新增數據匯入。在彈出的面板中進行如下配置:
終端節點:選擇騰訊雲kafka協議消費外網訪問地址。
Topics:選擇騰訊雲kafka協議消費的消費主題(topic)。
實值型別:參考CLS轉儲日誌的消費資料格式,對應關係如下:
轉儲格式
實值型別
JSON
json
原始內容
text
配置目標資料來源
資料來源名稱:選擇步驟1建立的資料來源。
目標Logstore:根據選擇的資料來源,自動拉取該資料來源下的日誌庫。
單擊確定儲存配置:匯入配置完成後,Security Center將自動從騰訊雲拉取日誌。
通過Object Storage Service COS 匯入
步驟1:在【騰訊雲】準備 COS 資料倉儲並擷取存取金鑰
建立從 CLS 到 COS 轉儲任務
詳細指引請參考騰訊雲官方文檔:建立COS投遞任務。
建立 COS 投遞任務:
訪問騰訊雲-日誌主題頁面,並在左上方選擇對應的日誌儲存地區。
單擊目標日誌主題名稱,進入詳情頁。
Web Application Firewall:通常在
waf_post_logset日誌集下,詳情參見Web Application Firewall投遞至CLS。
選擇左側導覽列投遞到COS後,單擊添加投遞配置。並按以下要求進行配置:
說明若日誌進行歸檔確認頁,單擊仍選擇投遞到COS按鈕即可。
基本配置:
投遞時間範圍:若想支援分析資料,請不要設定結束時間。
投遞檔案大小:設定投遞日誌觸發值,即日誌量累計到該值後才會將日誌投遞至投遞COS。
投遞間隔時間:設定日誌投遞時間間隔,即每隔該時間長度,將這段時間長度中的日誌,壓縮後投遞至COS。
重要投遞檔案大小和投遞間隔時間為或(OR)關係,即達到任意其中一個觸發條件時,開始投遞日誌至COS。
儲存桶配置:
進階配置:
消費資料格式:選擇JSON。
JSON:選擇不轉義。
擷取COS 儲存桶的訪問網域名稱(Endpoint)。
訪問騰訊雲-儲存桶列表,定位步驟3選擇的COS儲存桶。進入桶詳情頁,在網域名稱資訊地區擷取網域名稱資訊。
重要網域名稱資訊注意不包含儲存桶名稱,格式為:
cos.${region}.myqcloud.com。擷取桶訪問地址會在後續Security Center授權訪問COS、建立資料匯入任務中使用。
設定存取金鑰
使用主帳號密鑰:訪問騰訊雲-API密鑰管理頁面,單擊建立密鑰。並妥善儲存產生的
SecretId和SecretKey(下載CSV檔案或複製到本地檔案儲存)。更多資訊,請參考主帳號存取金鑰管理。說明API 金鑰或者專案密鑰均可使用。
使用子帳號密鑰:
在訪問管理主控台的 騰訊雲-策略頁面,建立最小存取權限策略,以保證密鑰使用安全。更多資訊請參考投遞 COS授權、通過策略文法建立自訂策略。
{ "version": "2.0", "statement": [ { "effect": "allow", "action": [ "cls:DescribeTopics", "cls:DescribeLogsets", "cls:DescribeIndex", "cls:CreateShipper" ], "resource": "*" }, { "effect": "allow", "action": [ "tag:DescribeResourceTagsByResourceIds", "tag:DescribeTagKeys", "tag:DescribeTagValues", "cls:ModifyShipper", "cls:DescribeShippers", "cls:DeleteShipper", "cls:DescribeShipperTasks", "cls:RetryShipperTask", "cls:DescribeShipperPreview", "cos:GetService", "cam:ListAttachedRolePolicies", "cam:AttachRolePolicy", "cam:CreateRole", "cam:DescribeRoleList" ], "resource": "*" } ] }訪問騰訊雲-使用者列表頁面,選擇已有子帳號或建立新的子帳號。
添加上一步建立的存取原則。
使用者詳情頁面API密鑰頁簽,單擊建立密鑰。並妥善儲存產生的
SecretId和SecretKey(下載CSV檔案或複製到本地檔案儲存)。更多資訊,請參考子帳號存取金鑰管理。
在【阿里雲】配置 COS 日誌匯入
在Security Center授權訪問COS
訪問Security Center控制台-系統設定-功能設定,在頁面左側頂部,選擇需防護資產所在的地區:中國內地或非中國內地。
在多云配置管理頁簽,選擇多云资产後,單擊新增授权,下拉選擇 IDC。在彈出的面板中進行如下配置:
廠商:選擇 AWS-S3。
接入方式:選擇S3 。
終端節點(Endpoint):COS 儲存桶的訪問網域名稱。
Access Key Id/Secret Access Key:設定存取金鑰。
配置同步策略
AK服務狀態檢查:設定Security Center自動檢查騰訊雲帳號存取金鑰有效性的時間間隔。可選“關閉”,表示不進行檢測。
建立資料匯入任務
訪問Security Center控制台-Agentic SOC-接入中心,在頁面左側頂部,選擇需防護資產所在的地區:中國內地或非中國內地。
在數據匯入頁簽,單擊新增數據匯入。在彈出的面板中進行如下配置:
資料來源類型:S3。
終端節點:COS 儲存桶的訪問網域名稱。
桶(Bucket):CLS日誌轉存配置的COS儲存桶。
檔案路徑首碼過濾:通過檔案路徑首碼過濾S3檔案,用於準確定位待匯入的檔案。例如待匯入的檔案都在csv/目錄下,則可以指定首碼為csv/。檔案具體路徑,請參見COS 路徑。
說明強烈建議設定此參數。如果不設定,系統將遍曆整個 S3 Bucket。當 Bucket 內檔案數量巨大時,全量遍曆會嚴重影響匯入效率。
檔案路徑正則過濾:通過Regex篩選檔案,用於準確定位待匯入的檔案。預設為空白,表示不過濾。例如S3檔案為
testdata/csv/bill.csv,可以設定Regex為(testdata/csv/)(.*)。說明推薦與檔案路徑首碼過濾一起設定,提高效率。此配置與檔案路徑首碼過濾之前為“且(and)”的關係。
調整Regex的方法,請參見如何調試Regex。
資料格式:檔案的解析格式,如下所示。
CSV:分隔字元分割的文字檔,支援指定檔案中的首行為欄位名稱或手動指定欄位名稱。除欄位名稱外的每一行都會被解析為日誌欄位的值。
JSON:逐行讀取S3檔案,將每一行看作一個JSON對象進行解析。解析後,JSON對象中的各個欄位對應為日誌中的各個欄位。
單行文本:將S3檔案中的每一行解析為一條日誌。
跨行文本:多行模式,支援指定首行或者尾行的Regex解析日誌。
若選擇為CSV或跨行文本時,需額外設定相關參數,具體說明如下所示。
CSV
參數
說明
分隔字元
設定日誌的分隔字元,預設值為半形逗號(,)。
引號
CSV字串所使用的引號字元。
轉義符
配置日誌的轉義符,預設值為反斜線(\)。
日誌最大跨行數
當一條日誌跨多行時,需要指定最大行數,預設值為1。
首行作為欄位名稱
開啟開關後,將使用CSV檔案中的首行作為欄位名稱。例如提取下圖中的首行為日誌欄位的名稱。
跳過行數
指定跳過的日誌行數。例如設定為1,則表示從CSV檔案中的第2行開始採集日誌。
跨行文本
參數
說明
正則匹配位置
設定Regex匹配的位置,具體說明如下:
首行正則:使用Regex匹配一條日誌的行首,未匹配部分為該條日誌的一部分,直到達到最大行數。
尾行正則:使用Regex匹配一條日誌的行尾,未匹配部分為下一條日誌的一部分,直到達到最大行數。
Regex
根據日誌內容,設定正確的Regex。調整Regex的方法,請參見如何調試Regex。
最大行數
一條日誌最大的行數。
編碼格式:待匯入的S3檔案的編碼格式。支援GBK、UTF-8。
壓縮格式:根據OBS中設定的檔案壓縮格式,由系統自動檢測。
檔案修改時間過濾:從任務啟動時刻回溯30分鐘作為起始時間,匯入此後修改的所有檔案(含未來新增檔案)。
檢查新檔案周期:用於設定匯入任務定期掃描新檔案的時間間隔,任務將按此時間間隔自動掃描並匯入新增的檔案。
配置目標資料來源
資料來源名稱:選擇狀態正常的自訂資料來源(自訂Log Service/CTDR專屬資料擷取通道)。若無合適的資料來源,請參考資料來源,建立新的資料來源。
目標Logstore:根據選擇的資料來源,自動拉取該資料來源下的日誌庫。
單擊確定儲存配置:匯入配置完成後,Security Center將自動從騰訊雲拉取日誌。
分析匯入資料
資料成功匯入 SLS 後,還需要配置接入規則和檢測規則,才能讓Security Center對這些日誌進行分析。
建立新的接入策略
參考產品接入,建立新的接入策略,配置如下:
資料來源:選擇資料匯入任務中配置的目標資料來源。
標準化規則:Agentic SOC提供了適配部分雲產品的內建標準化規則,可直接選用。
標準化方式:當接入日誌標準化為警示日誌時,僅支援“即時消費”方式標準化。
配置威脅檢測規則
根據安全需求,在規則管理中啟用或建立日誌檢測規則,才能對日誌進行分析、產出警示並產生安全事件。具體操作,請參見規則管理。
計費說明
本方案會涉及以下服務的費用,實施前請仔細閱讀各產品的計費文檔,做好成本預估。
騰訊雲側:
服務名稱
涉及費用項
計費參考文檔
Log Service( CLS)
日誌的儲存、讀寫費用等。
Object Storage Service(COS)
儲存容量、請求次數、公網流量等。
阿里雲側:費用組成取決於選擇的資料存放區方式。
說明Agentic SOC計費說明,請參見Agentic SOC訂用帳戶、Agentic SOC隨用隨付。
Log Service(SLS)計費說明,請參見計費概述。
資料來源類型
Agentic SOC 計費項目
SLS 計費項目
特別說明
CTDR專屬資料擷取通道
日誌接入費用。
日誌儲存、寫入費用。
說明以上均消耗日志接入流量。
除日誌儲存和寫入外的其他費用(如公網流量等)。
由Agentic SOC 建立並管理 SLS 資源,因此日誌庫儲存和寫入費用由Agentic SOC出賬。
使用者側Log Service
日誌接入費用,消耗日志接入流量。
日誌相關所有費用(包含日誌儲存和寫入、公網流量費用等)。
日誌資源全部由Log Service(SLS)管理,因此日誌相關費用,均由SLS出賬。
常見問題
資料匯入任務建立後,在 SLS 中看不到日誌資料怎麼辦?
檢查第三方雲側:登入騰訊雲控制台,確認日誌是否已成功產生並投遞/轉儲到您配置的 CLS、Kafka Topic 或Object Storage Service桶中。
檢查授權憑證:在Security Center的多雲資產頁面,檢查授權狀態是否正常。確認 Access Key 是否有效,密碼(特別是騰訊雲 Kafka 的
Id#Key拼接格式)是否正確。檢查網路連通性:如果是 Kafka 方案,請確認第三方雲的 Kafka 服務公網訪問已開啟,且安全性群組/防火牆規則已正確允許存取Security Center的服務 IP。
檢查資料匯入任務:在Security Center的資料匯入頁面,查看任務狀態和錯誤記錄檔,根據提示進行修正。
為什麼在阿里雲側新增授權時,要選擇
Apache或AWS-S3而不是騰訊雲?這是因為日誌匯入功能利用的是標準的相容協議,而非廠商特定的 API。
使用 IDC 代表協議廠商,Apache 代表 Kafka,AWS-S3 代表Object Storage Service。
騰訊雲授權配置,僅用於Agentic SOC的威脅檢測規則與騰訊雲進行安全事件聯動(如封鎖 IP),不能實現日誌匯入。