AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 日志服务 数据输出与集成 数据消费与订阅 第三方软件 投递日志到SIEM

投递日志到SIEM

更新时间:
产品详情
我的收藏

当需要投递日志到 SIEM 时,可通过部署一个能够连接日志服务与 SIEM 的应用程序,利用 SLS 消费组拉取日志,并使用 Splunk HEC 或 Syslog 将数据推送到 SIEM,实现云上日志与本地安全分析平台的集成。

业务背景

企业通常将安全信息和事件管理(SIEM)平台(如 Splunk、QRadar)部署在本地数据中心,且不向公网暴露接收端口以保证安全。当业务上云后,云上资源产生的日志数据又需要纳入本地 SIEM 进行统一的监控、审计和威胁分析。因此在不降低本地系统安全性的前提下,需要建立一条从日志服务到本地 SIEM 的日志投递管道,以实现云上日志的投递。

投递流程

在数据投递场景中,建议采用日志服务消费组来实现实时消费,并利用 Splunk 的 API(HTTP事件收集,HEC)或 Syslog over TCP/TLS 将日志传输至 SIEM。

image

核心逻辑

  1. 日志拉取:基于消费组构建程序,从日志服务拉取数据。此机制支持并发消费和故障转移。

    • 并发与吞吐

      • 可通过多次启动程序来实现并发效果。多个消费者属于同一消费组,且名称均不相同(消费者名以进程ID为后缀)。

      • 一个分区(Shard)只能被一个消费者消费,因此并发上限为Shard数量。例如一个日志库有10个分区,那么最多有10个消费者同时消费。

      • 在理想网络条件下:

        • 单个消费者(约占用20%单核CPU)可达10 MB/s原始日志消费速率。

        • 10个消费者可消费100 MB/s原始日志。

    • 高可用性

      • 消费组将检测点(Checkpoint)存储于服务端。

      • 当某一消费者实例终止运行,另一个消费者实例将自动接管并从断点继续消费。因此可在不同机器上启动消费者,当一台机器故障的情况下,其他机器上的消费者便可以自动从断点继续消费。

      • 可在不同机器启动大于Shard数量的消费者以作备用。

  2. 数据转发:程序收到日志后,根据配置进行格式化,并发送到本地 SIEM。

准备工作

  • 创建RAM用户及授权:该RAM需要拥有AliyunLogFullAccess的权限。

  • 网络要求:程序所在机器需要能访问日志服务Endpoint域名,且与SIEM 处于相同网络环境。

    • Endpoint域名获取方式:

      1. 登录日志服务控制台,在Project列表中,单击目标Project。

      2. 单击Project名称右侧的image进入项目概览页面。

      3. 在访问域名中复制公网域名。Endpoint域名为https://+公网域名

  • 环境要求:准备Python 3运行环境,并安装Python sdk。

    1. 安装日志服务Python sdk:pip install -U aliyun-log-python-sdk

    2. 验证安装结果:pip show aliyun-log-python-sdk,返回如下信息表示安装成功。

      Name: aliyun-log-python-sdk
Version: 0.9.12
Summary: Aliyun log service Python client SDK
Home-page: https://github.com/aliyun/aliyun-log-python-sdk
Author: Aliyun

实施步骤

步骤一:应用程序准备

日志服务提供Splunk HEC 与 Syslog 两种投递方式,请选择对应程序示例进行配置。

  • Splunk HEC :HTTP 事件收集器 (HEC) 基于Token,通过 HTTP 以高效安全的方式将多种数据格式的日志直接发送到 Splunk。

  • Syslog:常见的日志通道,兼容大多数SIEM,支持文本格式。

Splunk HEC

投递日志数据至Splunk时,可以参考sync_data.py进行配置,代码主要由三部分内容组成:

  • main()方法:主程序控制逻辑。

  • get_option() 方法:消费配置项。

    • 基本配置项:包括日志服务连接配置和消费组配置。

    • 消费组的高级选项:性能调参,不推荐修改。

    • SIEM(Splunk)相关参数与选项。

    • 若在数据投递过程中涉及数据清洗(如行过滤、列裁剪和数据规整等)时,可以通过添加SPL语句添加规则,参考如下:

      # SPL 语句
    query = "* | where instance_id in ('instance-1', 'instance-2')"
# 基于规则创建消费,相比普通消费在参数列表最后增加了参数 query
    option = LogHubConfig(endpoint, accessKeyId, accessKey, project, logstore, consumer_group, consumer_name,
                          cursor_position=CursorPosition.SPECIAL_TIMER_CURSOR,
                          cursor_start_time=cursor_start_time,
                          heartbeat_interval=heartbeat_interval,
                          data_fetch_interval=data_fetch_interval,
                          query=query)

  • SyncData(ConsumerProcessorBase):内容包含如何从日志服务获取数据并投递到Splunk,请仔细阅读代码中相关注释并根据需求调整。

完整代码如下:

sync_data.py

# -*- coding: utf-8 -*-
import os
import logging
from logging.handlers import RotatingFileHandler
from aliyun.log.consumer import *
from aliyun.log.pulllog_response import PullLogResponse
from multiprocessing import current_process
import json
import socket
import requests

# 配置程序日志文件,以便后续测试或者诊断问题
root = logging.getLogger()
handler = RotatingFileHandler("{0}_{1}.log".format(os.path.basename(__file__), current_process().pid), maxBytes=100*1024*1024, backupCount=5)
handler.setFormatter(logging.Formatter(fmt='[%(asctime)s] - [%(threadName)s] - {%(module)s:%(funcName)s:%(lineno)d} %(levelname)s - %(message)s', datefmt='%Y-%m-%d %H:%M:%S'))
root.setLevel(logging.INFO)
root.addHandler(handler)
root.addHandler(logging.StreamHandler())

logger = logging.getLogger(__name__)


class SyncData(ConsumerProcessorBase):
    """
    这个消费者从日志服务消费数据并发送给Splunk
    """
    def __init__(self, splunk_setting=None):
        
        """初始化并验证Splunk连通性"""
        super(SyncData, self).__init__()   # remember to call base's init

        assert splunk_setting, ValueError("You need to configure settings of remote target")
        assert isinstance(splunk_setting, dict), ValueError("The settings should be dict to include necessary address and confidentials.")

        self.option = splunk_setting
        self.timeout = self.option.get("timeout", 120)

        # 测试Splunk连通性
        s = socket.socket()
        s.settimeout(self.timeout)
        s.connect((self.option["host"], self.option['port']))

        self.r = requests.session()
        self.r.max_redirects = 1
        self.r.verify = self.option.get("ssl_verify", True)
        self.r.headers['Authorization'] = "Splunk {}".format(self.option['token'])
        self.url = "{0}://{1}:{2}/services/collector".format("http" if not self.option.get('https') else "https", self.option['host'], self.option['port'])

        self.default_fields = {}
        if self.option.get("sourcetype"):
            self.default_fields['sourcetype'] = self.option.get("sourcetype")
        if self.option.get("source"):
            self.default_fields['source'] = self.option.get("source")
        if self.option.get("index"):
            self.default_fields['index'] = self.option.get("index")

    def process(self, log_groups, check_point_tracker):
        logs = PullLogResponse.loggroups_to_flattern_list(log_groups, time_as_str=True, decode_bytes=True)
        logger.info("Get data from shard {0}, log count: {1}".format(self.shard_id, len(logs)))
        for log in logs:
            # 修改此处代码:替换为实际的日志发送到远端的同步处理代码
            # 日志格式为字典类型,示例如下(注意:所有字符串必须为Unicode编码):
            #    Python3: {"__time__": "12312312", "__topic__": "topic", "field1": "value1", "field2": "value2"}
            event = {}
            event.update(self.default_fields)
            event['time'] = log[u'__time__']
            del log['__time__']

            json_topic = {"actiontrail_audit_event": ["event"] }
            topic = log.get("__topic__", "")
            if topic in json_topic:
                try:
                    for field in json_topic[topic]:
                        log[field] = json.loads(log[field])
                except Exception as ex:
                    pass
            event['event'] = json.dumps(log)

            data = json.dumps(event, sort_keys=True)

            try:
                req = self.r.post(self.url, data=data, timeout=self.timeout)
                req.raise_for_status()
            except Exception as err:
                logger.debug("Failed to connect to remote Splunk server ({0}). Exception: {1}".format(self.url, err))
                raise err

                #根据需要,添加一些重试或者报告。

        logger.info("Complete send data to remote")

        self.save_checkpoint(check_point_tracker)


def get_option():
    ##########################
    # 基本配置项
    ##########################

    # 从环境变量中加载日志服务参数与选项
    accessKeyId = os.environ.get('SLS_AK_ID', '')
    accessKey = os.environ.get('SLS_AK_KEY', '')
    endpoint = os.environ.get('SLS_ENDPOINT', '')
    project = os.environ.get('SLS_PROJECT', '')
    logstore = os.environ.get('SLS_LOGSTORE', '')
    consumer_group = os.environ.get('SLS_CG', '')

    assert endpoint and accessKeyId and accessKey and project and logstore and consumer_group, \
        ValueError("endpoint/access_id/key/project/logstore/consumer_group/name cannot be empty")

    ##########################
    # 消费组的高级选项
    ##########################

    # 一般不建议修改消费者名称,尤其是需要进行并发消费时。
    consumer_name = "{0}-{1}".format(consumer_group, current_process().pid)

    # 消费的起点。这个参数在首次运行程序的时候有效,后续再次运行时将从上一次消费的保存点继续消费。
    # 可以使用“begin”、“end”,或者特定的ISO时间格式。
    cursor_start_time = "2018-12-26 0:0:0"

    # 心跳时长,当服务器在2倍时间内没有收到特定Shard的心跳报告时,服务器会认为对应消费者离线并重新调配任务。
    # 当网络环境不佳时,不建议将时长设置的比较小。
    heartbeat_interval = 20

    # 消费数据的最大间隔,如果数据生成的速度很快,不需要调整这个参数
    data_fetch_interval = 1
    
    # 构建一个消费组和消费者
    option = LogHubConfig(endpoint, accessKeyId, accessKey, project, logstore, consumer_group, consumer_name,
                          cursor_position=CursorPosition.SPECIAL_TIMER_CURSOR,
                          cursor_start_time=cursor_start_time,
                          heartbeat_interval=heartbeat_interval,
                          data_fetch_interval=data_fetch_interval)
"""
    基于规则构建消费者时可使用如下代码:
    自定义 SPL 语句
    query = "* | where instance_id in ('instance-1', 'instance-2')"
    基于规则构建消费,相比普通消费在参数列表最后增加了参数 query
    option = LogHubConfig(endpoint, accessKeyId, accessKey, project, logstore, consumer_group, consumer_name,
                          cursor_position=CursorPosition.SPECIAL_TIMER_CURSOR,
                          cursor_start_time=cursor_start_time,
                          heartbeat_interval=heartbeat_interval,
                          data_fetch_interval=data_fetch_interval,
                          query=query)
    """

    # Splunk选项
    settings = {
                "host": "1.2.3.4",
                "port": 80,
                "token": "a0*****123",
                'https': False,              # 可选, bool
                'timeout': 120,             # 可选, int
                'ssl_verify': True,         # 可选, bool
                "sourcetype": "",            # 可选, sourcetype
                "index": "",                # 可选, index
                "source": "",               # 可选, source
            }

    return  option, settings

#主程序控制逻辑 
def main():
    option, settings = get_option()

    logger.info("*** start to consume data...")
    worker = ConsumerWorker(SyncData, option, args=(settings,) )
    worker.start(join=True)

if __name__ == '__main__':
    main()

Syslog

Syslog主要基于RFC5424RFC3164定义相关日志格式规范,推荐使用RFC5424协议。理论上TCPUDP都支持Syslog,可以较好的保证数据传输稳定性,RFC5424协议也定义了TLS的安全传输层,当SIEM支持TCP通道或者TLS通道时建议优先使用。

当需要投递日志数据至SIEM时可以参考sync_data.py进行配置,代码主要由三部分内容组成:

  • main()方法:主程序控制逻辑。

  • get_monitor_option() 方法:消费配置项。

    • 基本配置项:包括日志服务连接配置和消费组配置。

    • 消费组的高级选项:性能调参,不推荐修改。

    • SIEMSyslog server相关参数与选项。

      • Syslog facility:程序组件,此处选择syslogclient.FAC_USER作为默认组件。

      • Syslog severity:日志级别,可根据需求设置指定内容的日志级别。此处选择syslogclient.SEV_INFO

      • SIEM支持基于TCPTLSSyslog通道,请配置protoTLS及配置正确的SSL证书。

  • SyncData(ConsumerProcessorBase):内容包含如何从日志服务获取数据投递到SIEM Syslog服务器,请仔细阅读代码中相关注释并根据需求调整。

完整代码如下:

sync_data.py

# -*- coding: utf-8 -*-

import os
import logging
from logging.handlers import RotatingFileHandler
from aliyun.log.consumer import *
from aliyun.log.pulllog_response import PullLogResponse
from multiprocessing import current_process
import aliyun.log.ext.syslogclient as syslogclient
from aliyun.log.ext.syslogclient import SyslogClientRFC5424 as SyslogClient
import six
from datetime import datetime

# 配置程序日志文件,以便后续测试或者诊断问题
root = logging.getLogger()
handler = RotatingFileHandler("{0}_{1}.log".format(os.path.basename(__file__), current_process().pid), maxBytes=100*1024*1024, backupCount=5)
handler.setFormatter(logging.Formatter(fmt='[%(asctime)s] - [%(threadName)s] - {%(module)s:%(funcName)s:%(lineno)d} %(levelname)s - %(message)s', datefmt='%Y-%m-%d %H:%M:%S'))
root.setLevel(logging.INFO)
root.addHandler(handler)
root.addHandler(logging.StreamHandler())

logger = logging.getLogger(__name__)


class SyncData(ConsumerProcessorBase):
    """
   消费者从日志服务消费数据并发送给Syslog server
    """
    def __init__(self, target_setting=None):
        """
        初始化并验证Syslog server连通性
        """

        super(SyncData, self).__init__()   # remember to call base's init

        assert target_setting, ValueError("You need to configure settings of remote target")
        assert isinstance(target_setting, dict), ValueError("The settings should be dict to include necessary address and confidentials.")

        self.option = target_setting
        self.protocol = self.option['protocol']
        self.timeout = int(self.option.get('timeout', 120))
        self.sep = self.option.get('sep', "||")
        self.host = self.option["host"]
        self.port = int(self.option.get('port', 514))
        self.cert_path=self.option.get('cert_path', None)

        # 测试连通性 
        with SyslogClient(self.host, self.port, proto=self.protocol, timeout=self.timeout, cert_path=self.cert_path) as client:
            pass

    def process(self, log_groups, check_point_tracker):
        logs = PullLogResponse.loggroups_to_flattern_list(log_groups, time_as_str=True, decode_bytes=True)
        logger.info("Get data from shard {0}, log count: {1}".format(self.shard_id, len(logs)))

        try:
            with SyslogClient(self.host, self.port, proto=self.protocol, timeout=self.timeout, cert_path=self.cert_path) as client:
                for log in logs:
                    # 将日志发送到远端的同步代码置于此处
                    # 日志格式为字典类型,示例如下(注意:所有字符串必须为Unicode编码):
                    #    Python2: {"__time__": "12312312", "__topic__": "topic", u"field1": u"value1", u"field2": u"value2"}
                    #    Python3: {"__time__": "12312312", "__topic__": "topic", "field1": "value1", "field2": "value2"}
                
                    timestamp = datetime.fromtimestamp(int(log[u'__time__']))
                    del log['__time__']

                    io = six.StringIO()
                    first = True
                    # 可以根据需要修改格式化内容,这里使用Key=Value传输,并使用默认的双竖线(||)进行分割
                    for k, v in six.iteritems(log):
                        io.write("{0}{1}={2}".format(self.sep, k, v))

                    data = io.getvalue()
                    # 可以根据需要修改facility或者severity
                    client.log(data, facility=self.option.get("facility", None), severity=self.option.get("severity", None), timestamp=timestamp, program=self.option.get("tag", None), hostname=self.option.get("hostname", None))

        except Exception as err:
            logger.debug("Failed to connect to remote syslog server ({0}). Exception: {1}".format(self.option, err))
            # 需要添加一些错误处理的代码,例如重试或者通知等 
            raise err

        logger.info("Complete send data to remote")

        self.save_checkpoint(check_point_tracker)


def get_monitor_option():
    ##########################
    # 基本配置项
    ##########################

    # 从环境变量中加载日志服务参数与选项
    endpoint = os.environ.get('SLS_ENDPOINT', '')
    accessKeyId = os.environ.get('SLS_AK_ID', '')
    accessKey = os.environ.get('SLS_AK_KEY', '')
    project = os.environ.get('SLS_PROJECT', '')
    logstore = os.environ.get('SLS_LOGSTORE', '')
    consumer_group = os.environ.get('SLS_CG', '')

    assert endpoint and accessKeyId and accessKey and project and logstore and consumer_group, \
        ValueError("endpoint/access_id/key/project/logstore/consumer_group/name cannot be empty")

    ##########################
    # 消费组的高级选项
    ##########################

    # 一般不建议修改消费者名称,尤其是需要进行并发消费时。
    consumer_name = "{0}-{1}".format(consumer_group, current_process().pid)

    # 消费的起点。这个参数在首次运行程序的时候有效,后续再次运行时将从上一次消费的保存点继续消费。
    # 可以使用“begin”、“end”,或者特定的ISO时间格式。
    cursor_start_time = "2019-1-1 0:0:0+8:00"

    # 心跳时长,当服务器在2倍时间内没有收到特定Shard的心跳报告时,服务器会认为对应消费者离线并重新调配任务。
    # 当网络环境不佳时,不建议将时长设置的比较小。
    heartbeat_interval = 20

    # 消费数据的最大间隔,如果数据生成的速度很快,不需要调整这个参数
    data_fetch_interval = 1

    # 构建一个消费组和消费者
    option = LogHubConfig(endpoint, accessKeyId, accessKey, project, logstore, consumer_group, consumer_name,
                          cursor_position=CursorPosition.SPECIAL_TIMER_CURSOR,
                          cursor_start_time=cursor_start_time,
                          heartbeat_interval=heartbeat_interval,
                          data_fetch_interval=data_fetch_interval)

    # Syslog server相关参数与选项
    settings = {
                "host": "1.2.3.4", # 必选
                "port": 514,       # 必选, 端口
                "protocol": "tcp", # 必选, TCP、UDP或TLS(仅Python3)
                "sep": "||",      # 必选, key=value键值对的分隔符,这里用双竖线(||)分隔
                "cert_path": None,  # 可选,TLS的证书位置
                "timeout": 120,   # 可选,超时时间,默认120秒
                "facility": syslogclient.FAC_USER,  # 可选,可以参考其他syslogclient.FAC_*的值
                "severity": syslogclient.SEV_INFO,  # 可选,可以参考其他syslogclient.SEV_*的值
                "hostname": None, # 可选,机器名,默认选择本机机器名
                "tag": None # 可选,标签,默认是短划线(-)
    }

    return option, settings

#主程序控制逻辑
def main():
    option, settings = get_monitor_option()

    logger.info("*** start to consume data...")
    worker = ConsumerWorker(SyncData, option, args=(settings,) )
    worker.start(join=True)


if __name__ == '__main__':
    main()

步骤二:配置环境变量

程序配置完成后,进行表格中系统环境变量配置

环境变量名

取值

示例

SLS_ENDPOINT

  1. 登录日志服务控制台,在Project列表中,单击目标Project。

  2. 单击Project名称右侧的image进入项目概览页面。

  3. 在访问域名中复制公网域名,拼接为https://+公网域名

Endpoint前缀配置为https://,如https://cn-beijing.log.aliyuncs.com,则程序自动使用HTTPS加密与日志服务连接。服务器证书*.aliyuncs.comGlobalSign签发,一般机器会自动信任此证书。若机器不信任此证书,通过Certificate installation下载并安装。

https://cn-beijing.log.aliyuncs.com

SLS_PROJECT

在日志服务控制台,复制目标Project名称。

my-sls-project-one

SLS_LOGSTORE

在日志服务控制台,复制目标Logstore名称。

my-sls-logstore-a1

SLS_AK_ID

建议使用RAM账号的AccessKey ID。

重要

  • 阿里云账号的AccessKey拥有所有API的访问权限,建议使用RAM用户的AccessKey进行API访问或日常运维。

  • 强烈建议不要把AccessKey IDAccessKey Secret保存到工程代码中,否则可能导致AccessKey泄露,威胁您账号下所有资源的安全。

L***ky

SLS_AK_KEY

建议使用RAM账号的AccessKey Secret。

x***Xl

SLS_CG

消费组名,可以简单命名为"syc_data",若消费组不存在,程序会自动创建。

syc_data

步骤三:启动并验证

  1. 启动多消费者进行并发消费,支持的最大并发数等于总 Shard 数。

    # 启动第一个消费者进程
nohup python3 sync_data.py &
# 启动第二个消费者进程
nohup python3 sync_data.py &

  2. 日志服务控制台查看消费组状态。

    1. Project列表区域,单击目标Project。在日志存储 > 日志库页签中,单击目标Logstore展开节点图标,然后单击数据消费展开节点图标。

    2. 在消费组列表中,单击目标消费组,在Consumer Group状态页面,查看每个Shard消费数据的客户端和时间。

  3. 通过云监控查看消费组延迟情况并配置告警

常见问题

出现ConsumerGroupQuotaExceed错误

此错误表示超出限制,单个日志库(Logstore)配置消费组上限为30个,请在日志服务控制台删除无用消费组。

上一篇:第三方软件下一篇:阿里云日志服务Splunk Add-on