您在添加完资产后,需要在“采集配置”模块中添加资产采集方法。
新增采集资产
Syslog资产
- 登录日志审计控制台。
- 选择“系统配置 > 采集管理 > syslog-udp”,进入syslog-udp资产配置页。
- 选择待采集设备的“资产组”和“资产IP”,单击“新增”完成资产配置。
Snmptrap资产
同上,区别于采集方式选择Snmptrap。配置Snmptrap采集资产:
- 新增MIB文件任务。在菜单“系统配置> 采集管理 > MIB管理”页面中,单击“新增”,上传MIB文件。
- 在菜单“系统配置 > 采集管理 > SnmpTrap管理”页面中,单击“新增”,对弹出的对话框中填写相关参数,详情见下表。
- 单击“提交”,完成Snmptrap资产的对接。
参数名称 填写说明 资产IP 选择待采集资产的IP地址。 数据接收端口 选择待采集资产的数据接收端口。 关联资产 自动关联,无需填写。 SNMP版本 选择SNMP版本,当前仅支持“v1”和“v2c”版本。 Community 自定义发送的团队名称。 MIB选择文件 选择步骤1上传的MIB文件。 发送Topic名称 自定义发送Topic的名称。 MIB文件内容 查询MIB中文件的内容。关键字查询,多个关键字符请使用英文","进行分隔。
Linux设备
Linux采集脚本下载:Linux系统syslog配置说明.zip
针对Linux操作系统的syslog采集配置,为减轻运维人员工作,编写了自动化配置脚本,由运维人员执行脚本即可完成配置,将系统日志上报到服务端,该文档主要对配置脚本提供使用说明。
注意在上传脚本前需要修改脚本中第50行左右的“IP_LIST”中的IP地址,IP地址需要跟实例界面的“私有IP地址”保持一致。
安装步骤:
-
上传脚本到服务器任意目录下;
-
使用root用户登陆:
su - root,并切换到上传目录下; -
增加脚本执行权限:
chmod 744 cmd_syslog_config_20201027.sh -
执行安装脚本:
sh cmd_syslog_config_20201027.sh执行成功后,会显示如下指令:syslog restart complete!
-
执行
source /etc/profile指令,修改您的环境变量,确保采集脚本可以正常生效。
说明若您配置完脚本后执行报错,请参考报错处理。
Windows设备
Windows采集软件包下载:eventlog_win.zip。
Windows系统以管理员身份运行eventlog_win安装包。
注意若您已经安装过Windows代理工具,在安装此工具前需要做卸载操作:打开压缩包,右键 > 以管理员身份运行卸载文件“Unistall”,卸载旧版采集工具。
Windows安装包安装步骤:
- 解压安装包之后,打开 /config/syslog_conf.xml 文件,根据您业务的实际需求修改“本机的IP”和“UDP接收的IP”。
- 修改完IP,右键 > 以管理员身份运行安装文件Install,等待程序安装完成。
- 待程序安装完成后即可正常使用Windows工具采集日志。
规则配置
说明若预置的规则不满足您的日常使用需求,可参考本章节新增规则配置。
配置日志的解析接入规则:点击“风险分析 > 事件策略 > 解析接入规则”,目前已经配置常见的日志规则可在该页面中查看,若需要新增自定义规则,可单击“新增”进行配置。选择需要采集的设备类型和日志样本。
可对日志样本先进行一层过滤,如:通过正则表达式,过滤端口等信息。默认不过滤。
选择日志格式解析的方式:正则表达式解析、分隔符解析、key-value解析、json格式解析。优先为json>key-value>分隔符>正则表达式。
鼠标左击选中样本信息中需要提取的字段内容,选择对应字段,添加到字段列表中。
填写实际采集日志,验证日志解析规则是否添加有误(可跳过)。
最后检查保存即可。
配置告警规则:点击“风险分析 > 告警策略”,目前已经配置常见的告警规则可在该页面中查看,若需要新增自定义规则,可点击新增进行配置。
其中告警规则逻辑关系可选择and、or、fb、rule。
条件可引用菜单“风险分析 > 对象资源”的内容作为字段值引用。
