日志服务与SIEM(如Splunk)集成方案实战

最新推荐文章于 2024-08-07 09:18:58 发布
最新推荐文章于 2024-08-07 09:18:58 发布
阅读量2.9k 收藏 2
点赞数 1
文章标签: 日志 aliyun 日志同步
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43970890/article/details/86541744
版权
本文详细介绍了如何将阿里云日志服务(SLS)与Splunk进行集成,确保阿里云上的审计日志能实时导入到安全运维中心。通过使用SLS消费组和Splunk的Http事件接收器(HEC),实现日志的实时消费和转发。文中还给出了Python实现的示例代码,包括程序配置、数据消费与转发、性能考虑等方面。
摘要由CSDN通过智能技术生成

背景信息

目标

本文主要介绍如何让阿里云日志服务与您的SIEM方案(如Splunk)对接, 以便确保阿里云上的所有法规、审计、与其他相关日志能够导入到您的安全运维中心(SOC)中。

名词解释

LOG(SLS) - 阿里云日志服务,简写SLS表示(Simple Log Service)。
SIEM - 安全信息与事件管理系统(Security Information and Event Management),如Splunk, QRadar等。
Splunk HEC - Splunk的Http事件接收器(Splunk Http Event Collector), 一个 HTTP(s)接口,用于接收日志。

审计相关日志

安全运维团队一般对阿里云相关的审计日志感兴趣,如下列出所有存在于所有目前在日志服务中可用的相关日志(但不限于):

  • Regions化 - 时刻更新,请以最新的产品文档为准。

阿里云日志服务

阿里云的日志服务(log service)是针对日志类数据的一站式服务,无需开发就能快捷完成海量日志数据的采集、消费、投递以及查询分析等功能,提升运维、运营效率。日志服务主要包括 实时采集与消费、数据投递、查询与实时分析 等功能,适用于从实时监控到数据仓库的各种开发、运维、运营与安全场景:

目前,以上各个阿里云产品已经与日志服务打通,提供近实时的日志自动采集存储、并提供基于日志服务的查询分析、报表报警、下游计算对接与投递的能力。

集成方案建议

概念

项目(Project)
项目(Project)是日志服务中的资源管理单元,用于资源隔离和控制。您可以通过项目来管理某一个应用的所有日志及相关的日志源。它管理着用户的所有日志库(Logstore),采集日志的机器配置等信息,同时它也是用户访问日志服务资源的入口。

日志库(Logstore)
日志库(Logstore)是日志服务中日志数据的收集、存储和查询单元。每个日志库隶属于一个项目,且每个项目可以创建多个日志库。

分区(Shard)
每个日志库分若干个分区(Shard),每个分区由MD5左闭右开区间组成,每个区间范围不会相互覆盖,并且所有的区间的范围是MD5整个取值范围。

服务入口(Endpoint)
日志服务入口是访问一个项目(Project)及其内部日志数据的 URL。它和 Project 所在的阿里云区域(Region)及 Project 名称相关。
https://help.aliyun.com/document_detail/29008.html

访问秘钥(AccessKey)
阿里云访问秘钥是阿里云为用户使用 API(非控制台)来访问其云资源设计的“安全口令”。您可以用它来签名 API 请求内容以通过服务端的安全验证。
https://help.aliyun.com/document_detail/29009.html

假设

这里假设您的SIEM(如Splunk)位于组织内部环境(on-premise)中,而不是云端。为了安全考虑,没有任何端口开放让外界环境来访问此SIEM。

概览

推荐使用SLS消费组构建程序来从SLS进行实时消费,然后通过Splunk API(HEC)来发送日志给Splunk。

最低0.47元/天 解锁文章
阿里云技术
关注
Splunk 最佳实践-减轻captain 负担
shenghuiping2001的专栏
05-27 141
Search head captain 可以设置只为查询,不参与schedule job , 但是调度还是要的。
Splunk HEC 取发送数据 服务器的hostname
shenghuiping2001的专栏
08-16 262
Splunk HEC 怎么才能取到发送数据 server 的hostname 呢?原来是有配置的。
阿里云SIEM客户端项目教程
最新发布
gitblog_00688的博客
08-07 376
阿里云SIEM客户端项目教程 cloud-siem-client项目地址:https://gitcode.com/gh_mirrors/cl/cloud-siem-client 项目介绍 阿里云SIEM客户端(cloud-siem-client)是一个开源项目,旨在帮助用户将日志数据发送到阿里云SIEM服务进行集中管理和分析。该项目支持多种日志格式,并提供了灵活的配置选项,以便用户可以根据自己的...
SIEM之基于Splunk日志监控
qq_53058639的博客
01-13 465
Splunk是什么?Splunk是一个功能强大的机器数据分析平台,包括机器数据的收集、索引、搜索、监控、可视化和告警等。另一方面来说,Splunk是一个时间序列索引器,因为Splunk索引数据的时候,是基于数据时间戳把数据拆分成事件。Splunk支持从任何IT设备和应用(服务器、路由交换、应用程序、数据库等)收集日志,支持对日志进行高效搜索、索引和可视化。可应用于:IT运营、安全合规、商业分析等。Splunk功能概述Splunk支持各种格式(如XML、JSON)和非结构化机器数据的获取。Splunk
Splunk HEC token 白名单设置-indexes
shenghuiping2001的专栏
09-07 381
Splunk HEC token 白名单设置 - indexes 的设置,还是有时有用的。
日志服务Python消费组实战(三):实时跨域监测多日志库数据
xstardust的博客
01-21 141
解决问题 使用日志服务进行数据处理与传递的过程中,你是否遇到如下监测场景不能很好的解决: 特定数据上传到日志服务中需要检查数据内的异常情况,而没有现成监控工具? 需要检索数据里面的关键字,但数据没有建立索引,无法使用日志服务的告警功能? 数据监测要求实时性(<5秒,例如Web访问500错误),而特定功能都有一定延迟(1分钟以上)? 存在多个域的多个日志库(例如每个Region的错误...
Spring Boot框架日志系统:Logback、Log4j2实战(深入剖析日志记录与分析)
[Spring Boot框架日志系统:Logback、Log4j2实战(深入剖析日志记录与分析)](https://media.geeksforgeeks.org/wp-content/uploads/20220220174148/log4j2console.jpg) # 1. 日志记录的理论基础** 日志记录是软件...
阿里云国际站:日志服务SLS
TG_aliyun314的博客
10-31 368
面对业务数字化,传统的 IT 运维方案存在多种挑战,需要能打通可观测数据,快速根因诊断与问题定位,方便易用的新一代运维方案日志服务 SLS,可提供一站式日志数据采集、加工、查询与分析、可视化、告警、消费与投递等功能,全面提升研发、运维、运营、安全等场景的数字化能力。
Gartner PeerInsights评选的12款顶级SIEM工具
focus on security
10-21 960
1. AlienVault统一安全管理平台(AlienVault Unified Security Management) AlienVault的统一安全管理(USM)平台提供了在各种系统中监控、分析和管理系统事件的工具。其声称能够从网络中的任何地方发现威胁,而不仅仅通过防火墙,且能够将发现的威胁以“杀伤链”(KILL CHAIN)的不同阶段进行归类。 AlienVault USM不仅仅是一个SIEM解决方案。除了监控进而管理事件日志外,该平台还提供用于漏洞评估和入侵检测(包括网络和基于主机)的工...
自建ELK vs 日志服务(SLS)全方位对比
weixin_34167819的博客
09-21 1680
简介 提到日志实时分析,很多人都会想到很火的ELK Stack(Elastic/Logstash/Kibana)来搭建。ELK方案开源,在社区中有大量的内容和使用案例。 阿里云日志服务产品在新版中增强查询分析功能(LogSearch/Analytics),支持对日志数据实时索引与查询分析,并且对查询性能和计算数据量做了大量优化。在这里我们做一个全方位的比...
Elk和splunk的区别调研报告
qq_36719340的博客
08-04 9084
Splunk(商业软件,收费)介绍: 从功能上讲,Splunk是一款功能完善、强大的机器数据(MachineData)分析平台,涵盖机器数据收集、索引、搜索、监控、分析、可视化、告警等功能。 Splunk还提供了强大API集,语言实现是用C/C++,Python,开发人员可以使用Python、Java、JavaScript、Ruby、PHP、C# 编程语言开发应用程序。 从技术上讲,Splun...
Splunk工具学习(下载、安装、简单使用、核心概念)
关注网络安全、云原生安全
03-24 8422
目录什么是Splunk?介绍Splunk的应用场景Splunk架构Splunk下载与安装docker安装(推荐)手动安装Splunk简单使用登录搜索参考 什么是Splunk? 介绍 splunk的一个可扩展且可靠的数据平台,用于调查、监控、分析和处理您的数据,在加速创新的同时确保安全性和系统弹性,释放资源来发现数据中的机会并提供创新,即使面对不可预测性也是如此。随着攻击的复杂性和攻击面不断扩大,确保强大的安全态势越来越具有挑战性。Splunk 使客户能够实现其安全运营的现代化,在混合、多云环境中提供更强大
splunk 通过rest http导入数据
djph26741的博客
12-12 440
使用 HTTP Event Collector go toSettings > Data inputs > HTTP Event Collector. Then click theGlobal Settingsbutton in the upper-right corner. 然后enable设置下! 然后去add data添加http EC。 在设置里s...
智能安全运维:新一代SOC与SIEM解决方案
新一代SOC方案是基于Security Operations and Analytic Platform Architecture构建的,集成了多种McAfee产品,如McAfee Enterprise Log Manager、McAfee Application Data Monitor、McAfee Advanced Correlation ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值