AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 云安全中心 操作指南 威胁分析与响应 接入中心 数据导入 导入腾讯云日志数据

导入腾讯云日志数据

更新时间:
产品详情
我的收藏
重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

在多云环境中,安全日志分散在不同云厂商平台,导致难以进行统一的威胁检测和应急响应。云安全中心的威胁分析与响应 (CTDR)功能支持集中导入并分析腾讯云的安全产品日志(如 WAF、云防火墙),帮助您实现跨云环境的统一安全管理。

工作流程

  1. 源端日志汇聚:腾讯云产品(如 WAF)的日志统一汇聚到腾讯云日志服务 (CLS)

  2. 数据导出外发:通过 CLS 将日志数据导出至消息队列 (Kafka) 或对象存储 (COS),作为跨云数据传输的中转节点。

  3. 跨云数据导入:CTDR 平台作为消费端,通过标准的 Kafka 或 S3 协议,从 DMS 或 COS 中订阅并拉取日志数据至指定数据源。

  4. 接入与标准化:在 CTDR 平台内创建接入策略,并应用标准化规则,对拉取到的原始日志进行解析、范式化处理后,最终存入数据仓库。

image

适用范围

本方案仅支持导入腾讯云的以下日志类型:

  • Web 应用防火墙 (WAF)告警日志

  • 云防火墙 (CFW)告警日志

投递日志到 CLS

在导入前,必须先将腾讯云上分散的安全产品日志统一投递至云日志服务(CLS)。

Web应用防火墙

说明

详细指引请参考腾讯云官方文档:WAF-日志投递

  1. 授权开通日志服务

    1. 登录 Web 应用防火墙控制台Web 应用防火墙控制台,在访问日志 > 日志投递攻击日志 > 日志投递页面,单击立即配置,根据提示完成授权。

    2. 授权完成后,在日志投递页面单击立即创建

      重要

      授权后,系统将自动创建名为 waf_post_logset 的日志集。

  2. 开启日志投递

    为需要采集日志开启日志投递,详情请参见 开启日志投递

    • 开启攻击日志投递:WAF控制台左侧导航栏中,选择实例管理,在实例详情页,开启攻击日志投递开关。

    • 开启访问日志投递:

      1. WAF控制台左侧导航栏中,选择接入管理 > 域名接入,单击域名操作列的更多 > 日志投递

      2. 在高级设置窗口中,投递目标选择CLS,单击保存

云防火墙

说明

详细指引请参考腾讯云官方文档:云防火墙-日志投递

  1. 创建子账号权限

    说明

    也使用API密钥管理中创建主账号密钥。

    1. 推荐在访问管理-用户列表页面,为防火墙日志投递任务创建专属 API 调用账号,并赋予 CLS 的全读写权限QcloudCLSFullAccess

    2. 用户详情页面API密钥页签,单击新建密钥,并妥善保管生成的 SecretIdSecretKey下载CSV文件或复制到本地文件保存)。更多信息,请参考子账号访问密钥管理

  2. 日志投递至CLS

    1. 云防火墙控制台日志分析页面的日志投递区域,选择投递至 CLS页签。

    2. 配置CLS投递区域,填写上一步创建的子账号密钥 SecurityIDSecurityKey)进行身份认证。

    3. 根据需要,开启相应日志(如攻击日志、访问控制日志)的投递开关

      重要

      开启后,您可以在日志主题 ID/名称列看到对应的 CLS 日志主题信息。

选择导入方案

将腾讯云CLS 日志导入云安全中心,可选择Kafka协议消费或对象存储 (cos)方案。两种方案在实时性、成本和配置复杂度上各有侧重,可根据具体业务场景选择。

对比项

Kafka 协议消费

对象存储 (COS)

实时性

准实时。

分钟级延迟。

配置复杂度

较低,需配置Kafka 协议消费。

较低,需配置COS 投递任务

成本构成

  • 腾讯云:日志服务费用。

  • 阿里云:CTDR日志接入流量费用。

  • 腾讯云:COS 存储费用。

  • 阿里云:CTDR日志接入流量费用。

适用场景

对日志分析实时性要求高,如需进行流式安全计算或快速告警响应。

对实时性要求不高,侧重于成本效益、日志归档或批量离线分析。

配置数据导入

通过 Kafka 协议消费导入

步骤1:在【腾讯云】配置Kafka协议消费并获取访问密钥

创建从 CLS 到 Kafka 协议消费转储任务

说明

详细指引请参考腾讯云官方文档:使用 Kafka 协议消费日志

  1. 开启 Kafka 协议消费

    1. 访问腾讯云-日志主题页面,并在左上角选择对应的日志存储区域。

    2. 单击目标日志主题名称,进入详情页。

    3. 单击左侧导航栏Kafka协议消费,在基本信息页签,单击右侧的编辑并打开启用状态开关。参照如下说明,完成配置后,单击确定

      • 数据范围:历史+最新。

      • 消费数据格式JSON(勾选不转义)或原始内容。

      • 数据压缩格式:不压缩。

      • 外网消费:打开。

      • 服务日志:打开。

  2. 获取连接 Kafka 服务所需的信息

    完成配置后,单击查看消费者参数,获取所需关键配置信息:CLS外网服务地址(接入点)用户名、消费主题(topic)以便后续在云安全中心授权访问COS创建数据导入任务中使用。

    参数

    说明

    外网访问地址

    格式:kafkaconsumer-${region}.cls.tencentcs.com:9096。

    消费主题

    kafkatopic。

    用户名

    配置为 ${LogSetID},即日志集 ID。

    密码

    配置为 ${SecretId}#${SecretKey}

    image

设置访问密钥

  • 使用主账号密钥:访问腾讯云-API密钥管理页面,单击新建密钥。并妥善保存生成的 SecretIdSecretKey下载CSV文件或复制到本地文件保存)。更多信息,请参考主账号访问密钥管理

    说明

    API 密钥或者项目密钥均可使用。

  • 使用子账号密钥

    1. 在访问管理控制台的腾讯云-策略 页面,创建最小访问权限策略,以保证密钥使用安全。更多信息请参考Kafka 协议消费授权通过策略语法创建自定义策略

      {
    "version": "2.0",
    "statement": [{
        "action": [
            "cls:PreviewKafkaRecharge",
            "cls:CreateKafkaRecharge",
            "cls:ModifyKafkaRecharge",
        ],
        "resource": "*",
        "effect": "allow"
    }]
}

    2. 访问腾讯云-用户列表页面,选择已有子账号或创建新的子账号。

      • 添加上一步创建的访问策略。

      • 用户详情页面API密钥页签,单击新建密钥。并妥善保管生成的 SecretIdSecretKey下载CSV文件或复制到本地文件保存)。更多信息,请参考子账号访问密钥管理

步骤2:在【阿里云】配置 Kafka 日志导入

授权云安全中心访问 Kafka

  1. 访问云安全中心控制台-系统配置-功能设置,在页面左侧顶部,选择需防护资产所在的区域:中国内地非中国内地

  2. 多云配置管理页签,选择多云资产后,单击新增授权。在弹出的面板中进行如下配置:

  3. 配置同步策略

    AK服务状态检查:设置云安全中心自动检查腾讯云账号访问密钥有效性的时间间隔。可选“关闭”,表示不进行检测。

创建数据导入任务

  1. 创建数据源

    为腾讯云日志数据创建一个专属CTDR 数据源,若已创建请跳过此步骤。

    1. 访问云安全中心控制台-威胁分析与响应-接入中心,在页面左侧顶部,选择需防护资产所在的区域:中国内地非中国内地

    2. 数据源页签,创建接收腾讯云日志的数据源。具体操作请参见创建数据源:日志未接入日志服务(SLS)

      • 源数据源类型:可选择用户侧日志服务CTDR专属数据采集通道

      • 接入实例:建议新建日志库(Logstore),进行数据隔离。

  2. 数据导入页签,单击新增数据导入。在弹出的面板中进行如下配置:

  3. 配置目标数据源

    • 数据源名称:选择步骤1创建的数据源。

    • 目标Logstore:根据选择的数据源,自动拉取该数据源下的日志库。

  4. 单击确定保存配置:导入配置完成后,云安全中心将自动从腾讯云拉取日志。

通过对象存储 COS 导入

步骤1:在【腾讯云】准备 COS 数据仓库并获取访问密钥

创建从 CLS 到 COS 转储任务

说明

详细指引请参考腾讯云官方文档:新建COS投递任务

  1. 创建 COS 投递任务

    1. 访问腾讯云-日志主题页面,并在左上角选择对应的日志存储区域。

    2. 单击目标日志主题名称,进入详情页。

    3. 选择左侧导航栏投递到COS后,单击添加投递配置。并按以下要求进行配置:

      说明

      若日志进行归档确认页单击仍选择投递到COS按钮即可。

      • 基本配置

        • 投递时间范围:若想支持分析数据,请不要设置结束时间。

        • 投递文件大小:设置投递日志触发值,即日志量累计到该值后才会将日志投递至投递COS。

        • 投递间隔时间:设置日志投递时间间隔,即每隔该时长,将这段时长中的日志,压缩后投递至COS。

        重要

        投递文件大小投递间隔时间为或(OR)关系,即达到任意其中一个触发条件时,开始投递日志至COS。

      • 存储桶配置

        • COS存储桶:选择或新建存放腾讯云产品(如WAF、云防火墙)日志的存储桶。

        • 文件命名:建议选择投递时间命名,方便区分数据。

        • 文件压缩:请选择gzip不压缩

          警告

          云安全中心目前不支持 lzop 和 snappy 压缩格式的日志文件解析。

        • COS 存储类型:选择标准存储,更多信息参考存储类型概述

      • 高级配置

        • 消费数据格式:选择JSON。

        • JSON:选择不转义

  2. 获取COS 存储桶的访问域名(Endpoint)。

    访问腾讯云-存储桶列表,定位步骤3选择的COS存储桶。进入桶详情页,在域名信息区域获取域名信息。

    重要

    image

设置访问密钥

  • 使用主账号密钥:访问腾讯云-API密钥管理页面,单击新建密钥。并妥善保存生成的 SecretIdSecretKey下载CSV文件或复制到本地文件保存)。更多信息,请参考主账号访问密钥管理

    说明

    API 密钥或者项目密钥均可使用。

  • 使用子账号密钥

    1. 在访问管理控制台的腾讯云-策略 页面,创建最小访问权限策略,以保证密钥使用安全。更多信息请参考投递 COS授权通过策略语法创建自定义策略

      {
    "version": "2.0",
    "statement": [
        {
            "effect": "allow",
            "action": [
                "cls:DescribeTopics",
                "cls:DescribeLogsets",
                "cls:DescribeIndex",
                "cls:CreateShipper"
            ],
            "resource": "*"
        },
        {
            "effect": "allow",
            "action": [
                "tag:DescribeResourceTagsByResourceIds",
                "tag:DescribeTagKeys",
                "tag:DescribeTagValues", 
                "cls:ModifyShipper",
                "cls:DescribeShippers",
                "cls:DeleteShipper",
                "cls:DescribeShipperTasks",
                "cls:RetryShipperTask",
                "cls:DescribeShipperPreview",
                "cos:GetService",
                "cam:ListAttachedRolePolicies",
                "cam:AttachRolePolicy",
                "cam:CreateRole",
                "cam:DescribeRoleList"
            ],
            "resource": "*"
        }
    ]
}

    2. 访问腾讯云-用户列表页面,选择已有子账号或创建新的子账号。

      • 添加上一步创建的访问策略。

      • 用户详情页面API密钥页签,单击新建密钥。并妥善保存生成的 SecretIdSecretKey下载CSV文件或复制到本地文件保存)。更多信息,请参考子账号访问密钥管理

在【阿里云】配置 COS 日志导入

在云安全中心授权访问COS

  1. 访问云安全中心控制台-系统配置-功能设置,在页面左侧顶部,选择需防护资产所在的区域:中国内地非中国内地

  2. 多云配置管理页签,选择多云资产后,单击新增授权,下拉选择 IDC。在弹出的面板中进行如下配置:

  3. 配置同步策略

    AK服务状态检查:设置云安全中心自动检查腾讯云账号访问密钥有效性的时间间隔。可选“关闭”,表示不进行检测。

创建数据导入任务

  1. 访问云安全中心控制台-威胁分析与响应-接入中心,在页面左侧顶部,选择需防护资产所在的区域:中国内地非中国内地

  2. 数据导入页签,单击新增数据导入。在弹出的面板中进行如下配置:

  3. 配置目标数据源

    • 数据源名称:选择状态正常的自定义数据源(自定义日志服务/CTDR专属数据采集通道)。若无合适的数据源,请参考数据源,创建新的数据源。

    • 目标Logstore:根据选择的数据源,自动拉取该数据源下的日志库。

  4. 单击确定保存配置:导入配置完成后,云安全中心将自动从腾讯云拉取日志。

分析导入数据

数据成功导入 SLS 后,还需要配置接入规则和检测规则,才能让云安全中心对这些日志进行分析。

  1. 创建新的接入策略

    参考 产品接入,创建新的接入策略,配置如下:

    • 数据源:选择数据导入任务中配置的目标数据源

    • 标准化规则:CTDR提供了适配腾讯云日志的内置标准化规则,可直接选用。也可参考标准化规则和数据集,自定义创建规则。

    • 标准化方式:默认为实时消费,不可更改。

      image

  2. 配置威胁检测规则

    根据安全需求,在规则管理中启用或创建日志检测规则,才能对日志进行分析、产出告警并生成安全事件。具体操作,请参见配置威胁检测规则

计费说明

本方案会涉及以下服务的费用,实施前请仔细阅读各产品的计费文档,做好成本预估:

  • 腾讯云侧

    服务名称

    涉及费用项

    计费参考文档

    日志服务( CLS)

    日志的存储、读写费用等。

    腾讯云日志服务-计费概述

    对象存储(COS)

    存储容量、请求次数、公网流量等。

    腾讯云COS-计费概述

  • 阿里云侧

    在阿里云侧,费用组成取决于选择的数据存储方式

    说明

    威胁分析与响应(CTDR)计费说明,请参见威胁分析与响应包年包月威胁分析与响应按量付费

    日志服务(SLS)计费说明,请参见SLS计费概述

    数据源类型

    CTDR 计费项

    SLS 计费项

    特别说明

    CTDR专属数据采集通道

    • 日志接入费用。

    • 日志存储、写入费用。

    说明

    以上均消耗日志接入流量

    除日志存储和写入外的其他费用(如公网流量等)。

    CTDR 创建并管理 SLS 资源,因此日志库存储和写入费用由CTDR出账。

    用户侧日志服务

    日志接入费用,消耗日志接入流量

    日志相关所有费用(包含日志存储和写入、公网流量费用等)。

    日志资源全部由日志服务(SLS)管理,因此日志相关费用,均由SLS出账。

常见问题

  • 数据导入任务创建后,在 SLS 中看不到日志数据怎么办?

    1. 检查第三方云侧:登录腾讯云控制台,确认日志是否已成功生成并投递/转储到您配置的 CLS、Kafka Topic 或对象存储桶中。

    2. 检查授权凭证:在云安全中心的多云资产页面,检查授权状态是否正常。确认 Access Key 是否有效,密码(特别是腾讯云 Kafka 的 Id#Key 拼接格式)是否正确。

    3. 检查网络连通性:如果是 Kafka 方案,请确认第三方云的 Kafka 服务公网访问已开启,且安全组/防火墙规则已正确放行云安全中心的服务 IP。

    4. 检查数据导入任务:在云安全中心的数据导入页面,查看任务状态和错误日志,根据提示进行修正。

  • 为什么在阿里云侧新增授权时,要选择ApacheAWS-S3而不是腾讯云?

    这是因为日志导入功能利用的是标准的兼容协议,而非厂商特定的 API。

    • 使用 IDC 代表协议厂商,Apache 代表 Kafka,AWS-S3 代表对象存储。

    • 腾讯云授权配置仅用于CTDR威胁检测规则与腾讯云进行安全事件联动(如封禁 IP),不能实现日志导入。

上一篇:导入华为云日志数据下一篇:常见问题