日志服务提供安骑士云产品的安全日志采集功能,您可以通过数据接入向导在控制台完成安骑士日志采集和日志数据的索引配置。完成日志采集后,您还可以通过日志服务的索引查询和多领域报表分析功能,对安骑士日志进行网络、登录时间、进程启动等多方面的事件分析。

应用场景

安骑士日志收集功能可用于服务状态监控等场景。您可以通过实时查看主机上的登录、网络、进程日志等重点数据,可以实时监控所有主机上发生的行为,并基于日志进行实时查询分析与报表建立。

前提条件

  1. 您已开通日志服务。
  2. 已开通安骑士服务企业版本或更高版本。
  3. 工单联系安骑士服务,开通日志投递功能。

注意事项

  • 安骑士日志导入到日志服务仅支持中国大陆和香港区域。
  • 安骑士的日志投递功能处于测试阶段。

配置步骤

步骤1 创建Project和Logstore

在日志服务控制台创建一个Project和Logstore,用于存放相关的安骑士日志。详细操作步骤请参考准备工作

步骤2 配置分发规则

  1. 登录安骑士控制台,单击左侧导航栏中的日志检索,进入日志页面。
  2. 单击右上角的日志投递,配置分发规则。
    图 1. 日志投递
  3. 如您之前尚未授权,会有控制台弹窗提示您授权。单击同意授权,向日志服务授予访问安骑士日志的权限。
  4. 日志投递页面填写投递配置。
    1. 选择需要投递的日志类型,单击其投递开关来开启/关闭日志投递。
    2. 填写投递区域、对应的Project名称、和Project名称
      说明
      建议您将所有日志统一投递到一个Logstore,这样不仅管理简单,数据之间也可以进行高级关联。搜索不同数据时,使用__topic__进行区分即可。
    3. 单击确定,完成分发配置。
    图 2. 确认分发配置


步骤3 数据接入与设置索引

  1. 登录日志服务控制台,单击步骤一中创建的Project名称,进入Logstore列表页面。
  2. 单击数据接入向导图标,进入数据接入流程。
  3. 选择数据类型。

    选择云产品日志中的安骑士,并单击下一步

  4. 设置数据源。
    1. RAM授权。单击授权进入快捷授权页面,单击同意授权完成授权步骤。
    2. 建立分发规则。您已在步骤二中完成了分发规则的建立,请确认后单击下一步
      图 3. 设置数据源


    3. 设置索引。日志服务已为您预设了索引,字段说明请查看安骑士日志格式。确认后单击下一步
      图 4. 索引


    说明
    系统默认为您创建3个特定的仪表盘,配置完成后您可以在仪表盘页面查看安骑士日志仪表盘。
  5. 您可以按需要配置日志投递、ETL,或者直接单击确认,完成配置。

默认仪表盘

日志服务提供了3个开箱即用的报表中心:

  • 网络中心(security-aegis-network):

    • 展示各种网络相关的提取汇总信息。
    • 有助于快速识别、追踪和分析已知或未知网络攻击,网络病毒等。
    图 5. 网络中心


  • 认证中心(security-aegis-login)

    • 展示各种登录事件的提取汇总信息。
    • 有助于快速识别、追踪和分析已知或未知账户攻击,信息泄漏等。
    图 6. 认证中心


  • 进程中心(security-aegis-process)

    • 展示各种进程启动的提取汇总信息。
    • 有助于快速识别、追踪和分析已知或未知终端攻击,病毒木马和APT攻击等。
    图 7. 进程中心


更多参考视频:http://cloud.video.taobao.com//play/u/3401426897/p/1/e/6/t/1/50080688250.mp4

安骑士日志格式

日志类型

阿里云安骑士云产品提供以下8种日志,日志类型及其描述如下表所示。

日志来源 描述 备注
进程启动日志 主机上进程启动信息。 由安骑士Agent采集,实时数据,进程一启动日志就上报。
网络连接日志 主机上连接的五元组信息。 由安骑士agent采集,Windows为实时数据,Linux为10秒采集,增量上报。
系统登录日志 SSH、RDP登录成功日志。 由安骑士Agent采集,准实时数据。
暴力破解日志 登录失败的日志。 由安骑士Agent采集,准实时的登录失败日志。
进程快照 主机上进程快照信息。 若在安骑士-资产指纹中开启了自动收集则会有数据,快照形式,每台机器一天非固定时间收集一次当时运行进程信息。
账户快照 主机上账户快照信息。 若在安骑士-资产指纹中开启了自动收集则会有数据,快照形式,每台机器一天非固定时间收集一次当时的账号信息。
端口侦听快照 主机上端口侦听快照信息。 若在安骑士-资产指纹中开启了自动收集则会有数据,快照形式,每台机器一天非固定时间收集一次当时的端口侦听信息。
字段说明

进程启动日志

字段 描述 示例
__time__ 连接时间,元数据字段。 2018-02-27 11:58:15
__topic__ 主题,固定为aegis-log-process。 -
uuid 客户端号。 5d83b26b-b7ca-4a0a-9267-123456
ip 客户端机器IP。 1.2.3.4
cmdline 用户启动完整命令行。 cmd.exe /C “netstat -ano“
username 用户名。 administrator
uid 用户ID。 123
pid 进程ID。 7100
filename 进程文件名。 cmd.exe
filepath 进程文件完整路径。 C:/Windows/SysWOW64/cmd.exe
groupname 用户组。 group1
ppid 父进程ID。 2296
pfilename 父进程文件名。 client.exe
pfilepath 父进程文件完整路径。 D:/client/client.exe
进程快照
字段 说明 示例
__time__ 数据获取时间,元数据字段。 2018-02-27 11:58:15
__topic__ 主题,固定为aegis-snapshot-process。 -
uuid 客户端号。 5d83b26b-b7ca-4a0a-9267-123456
ip 客户端机器IP。 1.2.3.4
cmdline 用户启动完整命令行。 cmd.exe /C “netstat -ano”
pid 进程ID。 7100
name 进程文件名。 cmd.exe
path 进程文件完整路径。 C:/Windows/SysWOW64/cmd.exe
md5 进程文件名MD5,超过1MB的进程文件不进行计算。 d0424c22dfa03f6e4d5289f7f5934dd4
pname 父进程文件名。 client.exe
start_time 进程启动时间,内置字段。 2018-01-18 20:00:12
user 用户名。 administrator
uid 用户ID。 123
登录日志
说明
1分钟内的重复登录时间会被合并为1条日志,在字段warn_count中体现次数。
字段 说明 示例
__time__ 连接时间,元数据字段。 2018-02-27 11:58:15
__topic__ 主题,固定为aegis-log-login。 -
uuid 客户端号。 5d83b26b-b7ca-4a0a-9267-123456
ip 客户端机器IP。 1.2.3.4
warn_ip 登录来源IP。 1.2.3.4
warn_port 登录端口。 22
warn_type 登录类型,包括SSHLOGIN(SSH登录)、RDPLOGIN(远程桌面登录)、IPCLOGIN等。 SSHLOGIN
warn_user 登录用户名。 admin
warn_count 登录次数。如值为3,表示这次登录前1分钟内还发送了2次。 3
暴力破解日志
字段名 名称 例子
__time__ 连接时间,元数据字段。 2018-02-27 11:58:15
__topic__ 主题,固定为aegis-log-crack。 -
uuid 客户端号。 5d83b26b-b7ca-4a0a-9267-123456
ip 客户端机器IP。 1.2.3.4
warn_ip 登录来源IP。 1.2.3.4
warn_port 登录端口。 22
warn_type 登录类型,可能值有:SSHLOGIN(SSH登录)、RDPLOGIN(远程桌面登录)、IPCLOGIN等。 SSHLOGIN
warn_user 登录用户名。 admin
warn_count 失败登录次数。 3
网络连接
说明
安骑士每隔10秒到1分钟会收集一下变化的网络连接,而一个网络连接的状态从建立到结束的过程中会部分状态会被收集到。
字段 说明 示例
__time__ 连接时间,元数据字段。 2018-02-27 11:58:15
__topic__ 主题,固定为aegis-log-network。 -
uuid 客户端号。 5d83b26b-b7ca-4a0a-9267-123456
ip 客户端机器IP。 1.2.3.4
src_ip 源IP。 1.2.3.4
src_port 源端口。 41897
dst_ip 目标IP。 1.2.3.4
dst_port 目标端口。 22
proc_name 进程名。 java
proc_path 进程路径。 /hsdata/jdk1.7.0_79/bin/java
proto 协议,包括tcp、udp、raw(表示raw socket)等。 tcp
status 连接状态,完整连接状态列表和描述,请参考网络连接状态描述 5
端口监听快照
字段 说明 示例
__time__ 数据获取时间,元数据字段。 2018-02-27 11:58:15
__topic__ 主题,固定为aegis-snapshot-port。 -
uuid 客户端号 5d83b26b-b7ca-4a0a-9267-123456
ip 客户端机器IP 1.2.3.4
proto 协议,包括tcp、udp、raw(表示raw socket)等。 tcp
src_ip 监听IP。 1.2.3.4
src_port 监听端口。 41897
pid 进程ID。 7100
proc_name 进程名。 java
账户快照
字段名 名称 例子
__time__ 连接时间,元数据字段。 2018-02-27 11:58:15
__topic__ 主题,固定为aegis-snapshot-account。 -
uuid 客户端号。 5d83b26b-b7ca-4a0a-9267-123456
ip 客户端机器IP。 1.2.3.4
user 用户。 nscd
perm 是否拥有root权限。其中,0表示没有root权限,1表示有root权限。 0
home_dir home目录。 /Users/abc
groups 用户属于的组,不属于任何组时为N/A [“users”, “root”]
last_chg 密码最后修改日期。 2017-08-24
shell linux的shell命令。 /sbin/nologin
domain windows域,不属于任何域为N/A administrator
tty 登录的终端,不适用时为N/A pts/3
warn_time 密码到期提醒日期,永不提醒时为never 2017-08-24
account_expire 账号超期日期,永不过期时为 2017-08-24
passwd_expire 密码超期日期,永不过期时为never 2017-08-24
login_ip 最后一次登录的远程IP地址,不适用时为N/A 1.2.3.4
last_logon 最后一次登录的日期和时间,不适用时为N/A 2017-08-21 09:21:21
status 用户状态。其中0表示禁用,1表示正常。 1
网络连接状态描述
状态值 描述
1 closed
2 listen
3 syn send
4 syn recv
5 establisted
6 close wait
7 closing
8 fin_wait1
9 fin_wait2
10 time_wait
11 delete_tcb