如何把企业的云上日志采集到本地SIEM

如何把企业的云上日志采集到本地SIEM,针对这个问题,这篇文章详细介绍了相对应的分析和解答,希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。

背景 

对于多说甲方企业,不可避免地会使用公有云服务。公有云上的业务一般与企业内网不通,不能够按照内网的那套日志采集手段进行日志收集。笔者经过调研阿里云日志服务相关文档,并通过测试验证,落地了如下阿里云控制台日志收集的流程。如果要收集阿里云上每台云主机的日志,流程类似。

一、阿里云控制台操作审计日志创建跟踪

创建跟踪-create trail

如何把企业的云上日志采集到本地SIEM注意,需要为存储日志的空间收费,详情如下:日志服务价格

对于小客户来说,主要收费项为外网读取流量,0.8元/G:

需要创建存储桶,以便后续消费使用(读取日志到本地)

如何把企业的云上日志采集到本地SIEM提交后,创建跟踪成功。

如何把企业的云上日志采集到本地SIEM

二、阿里云控制台配置审计日志投递

将配置审计投递到日志服务SLS,官方链接如下

投递配置审计日志到SLS

如何把企业的云上日志采集到本地SIEM

三、创建RAM用户和分配权限

参考创建RAM用户,会得到AccessKeyI D和AccessKey Secrete

如何把企业的云上日志采集到本地SIEM

其次,需要为创建的RAM用户分配权限,为了有权限消费日志,需要配置权限为AliyunLogFullAccess

如何把企业的云上日志采集到本地SIEM

四、消费审计日志并发送到SIEM的日志收集服务端

日志投递的官方文档如下:通过Syslog投递日志到SIEM

日志收集的脚本如下:sync_data_to_syslog.py

需要安装aliyun-log-python-sdk

python -m pip install aliyun-log-python-sdk -U

在运行脚本前,需要根据前两步的结果,配置如下参数:

endpoint = "cn-huhehaote.log.aliyuncs.com"
accessKeyId = "LTA*****"  #根据自己的accessId填写
accessKey = "JiV*****"      #根据自己的accesskey填写
project = "aliyun-event-trail"
logstore = "actiontrail_aliyun-event-trail"
consumer_group = "sync_data"

endpoint可以在日志服务对应的project下的概览看到如何把企业的云上日志采集到本地SIEM

logstore在project下的如下位置看到

如何把企业的云上日志采集到本地SIEM

配置好接收日志的服务端IP和端口各项参数后,执行python脚本,为了方便测试观察我们可以加一行日志打印

如何把企业的云上日志采集到本地SIEM效果如下:

如何把企业的云上日志采集到本地SIEM

接下来就是日志收集服务端的处理,提供一条日志样例如下,之后属于SIEM处理的标准动作,本文不再详述。

{
"acsRegion": "cn-hangzhou",
"additionalEventData": {
"loginAccount": "***",
"isMFAChecked": "false",
"callback": "https://account.console.aliyun.com/?spm=5176.10***8.top-nav.daccount.3bd9****u"
},
"eventId": "eb4f64bc-2515-4049-b381-7ca6*****",
"eventName": "ConsoleSignin",
"eventRW": "Write",
"eventSource": "http://account.aliyun.com/account_init/init.htm",
"eventTime": "2021-01-24T13:49:39Z",
"eventType": "ConsoleSignin",
"eventVersion": "1",
"requestId": "eb4f64bc-2515-4049-b3******",
"serviceName": "AasCustomer",
"sourceIpAddress": "220.181.41.*",
"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0",
"userIdentity": {
"accountId": "15538384*****",
"principalId": "15538384*****",
"type": "root-account",
"userName": "root"
}

||__topic__=actiontrail_audit_event||__source__=actiontrail_internal||__tag__:__pack_id__=5b3977dea4ee*******9||event={"acsRegion":"cn-hangzhou","additionalEventData":{"callbackUrl":"https://home.console.aliyun.com/","mfaChecked":"false"},"errorMessage":"success","eventId":"95.20_161149655*******","eventName":"ConsoleSignin","eventRW":"Write","eventSource":"signin.aliyun.com","eventTime":"2021-01-24T13:55:53Z","eventType":"ConsoleSignin","eventVersion":"1","requestId":"95.20_1611496553*******","serviceName":"AasSub","sourceIpAddress":"220.181.41.*","userAgent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0","userIdentity":{"accountId":"1553838*******","principalId":"25983001*******","type":"ram-user","userName":"sec***"}}

关于如何把企业的云上日志采集到本地SIEM问题的解答就分享到这里了,希望以上内容可以对大家有一定的帮助,如果你还有很多疑惑没有解开,可以关注亿速云行业资讯频道了解更多相关知识。

原创文章,作者:506227337,如若转载,请注明出处:https://blog.ytso.com/221865.html

(0)
上一篇 2022年1月4日
下一篇 2022年1月4日

相关推荐

发表回复

登录后才能评论