备案控制台
阿里云 全部技术解决方案

云上日志集中审计

相关产品

相关推荐

探索阿里云产品,构建云上应用和服务

免费试用

相关产品

相关推荐

云服务器ECS

云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。

云数据库RDS MySQL 版

MySQL 是全球最受欢迎的开源数据库之一,作为开源软件组合 LAMP(Linux + Apache + MySQL + Perl/PHP/Python)中的重要一环,广泛应用于各类应用场景。

负载均衡 SLB

对多台云服务器进行流量分发的负载均衡服务,可以通过流量分发扩展应用系统对外的服务能力,通过消除单点故障提升应用系统的可用性。

弹性公网IP

独立的公网IP资源,可以绑定到阿里云专有网络VPC类型的ECS、NAT网关、私网负载均衡SLB上,并可以动态解绑,实现公网IP和ECS、NAT网关、SLB的解耦,满足灵活管理的要求。

日志服务(SLS)

行业领先的日志大数据解决方案,一站式提供数据收集、清洗、分析、可视化和告警功能。全面提升海量日志处理能力,实时挖掘数据价值,智能助力研发/运维/运营/安全等场景。

云上网站经典架构

基于ECS、RDS和SLB经典云上架构,应对传统IDC在成本预估、系统稳定性、灾备等方面的挑战。
专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 对象存储 OSS 负载均衡 SLB CDN 云速搭CADT
电商网站业务安全

使用阿里云实现电商网站运营期间的安全防护,包括防爬风险管理、DDoS防御、风险管理产品的能力及操作
云数据库RDS MySQL 版 负载均衡 SLB DDoS防护 风险识别 爬虫风险管理 云速搭CADT
云效+ACK构建容器云Devops平台

使用云效完成容器应用自动化构建和持续部署
专有网络 VPC 负载均衡 SLB 容器服务 ACK 云效 云速搭CADT
云桌面远程办公

使用云桌面和VPN网关产品快速构建远程办公环境,在云桌面可以访问企业IDC内的应用和资源
云服务器ECS NAT网关 VPN网关 智能接入网关 云桌面
基于MaxCompute的大数据BI分析

在互联网、电商及游戏等行业通常需要对海量数据做快速实时分析和决策/本文演示如何将业务数据和日志数据通过MaxCompute处理后汇总到ADB/并通过QuickBI等工具进行可视化分析的方案。
日志服务(SLS) 大数据计算服务 MaxCompute 云原生数据仓库AnalyticDB MySQL版 Quick BI 云速搭CADT
基于ECI的ACK集群高弹性架构

使用ACK上运行常规业务,业务突发波动时突增业务运行在ECI上/达到成本的最优控制
云数据库RDS MySQL 版 文件存储NAS 容器服务 ACK 云数据库 Redis 版 弹性容器实例 ECI 云速搭CADT
微服务架构日志采集运维管理

微服务应用化过程的日志采集运维管理,解决用户微服务改造过程中日志采集处理分析痛点
云服务器ECS 云数据库RDS MySQL 版 文件存储NAS 容器服务 ACK 容器镜像服务 ACR
企业上云等保三级合规

云原生高性价比的等保三级最佳实践;在等保二级基础上,叠加必要的安全产品及高可用架构/满足三级要求
云服务器ECS 日志服务(SLS) 云安全中心 Web应用防火墙 操作审计 数据库审计 堡垒机 云防火墙 SSL证书 云速搭CADT
电商网站数据埋点及分析

对网站用户行为的每一个事件对应的位置进行埋点通过SDK上报/汇总数据进行分析以推动产品优化及指导运营
云服务器ECS 云数据库RDS MySQL 版 日志服务(SLS) DataWorks 云速搭CADT
服务器迁移

使用阿里云提供的迁移工具将物理服务器、虚拟机以及其他云平台云主机一站式地迁移到阿里云ECS
专有网络 VPC 云服务器ECS 服务器迁移中心 云速搭CADT
资源管理

指定结算账号统筹管理企业多个阿里云账号及资源,使用资源组按照项目或应用视角来进行分组管理和访问管控。
资源管理
视频直播业务上云

介绍手机端通过云视频直播服务来推流和拉流实现视频直播业务,同时利用MQTT微消息、内容安全和表格存储来解决。
云服务器ECS 弹性公网IP NAT网关 表格存储 内容安全 视频直播 微消息队列 MQTT 版 云速搭CADT

探索阿里云产品,构建云上应用和服务

免费试用

温馨提示

抱歉,登录前您只能看到8页哦。立刻登录,浏览全部技术解决方案最佳实践案例内容!

如果您是企业账号,可以生成子账号授权访问。

BpFile(id=283, bpId=148, name=云上日志集中审计, author=null, keyword=日志审计, description=在SLS的日志审计应用的基础上,集中汇聚云安全产品日志、Web服务日志等,进行集中审计。, position=null, ossUrl=bp-BAFRYH51V51Z9KXD.pdf, tags=null, level=null, tagList=null, products=null, productList=null, hotspot=null, oneClick=0, createTime=null, modifiedTime=null, timeConsuming=null, status=1, pdfDescription=

场景描述 云上的各类云产品和客户部署的业务系统会产生各类 日志,企业合规及安全运营等都需要在一个地方能 集中的查看和分析日志;目前各云产品日志大部分 都进了sls,但都是产品独立的project,不方便集中 审计;客户的业务系统日志各种形态都有;多云和混 合云的场景,日志也需要能集中审计。 解决问题 1.所有日志集中到SLS一个中心project下。 2.满足等保合规和内部合规需求。 3.满足运维和安全运营需求。 产品列表 ⚫日志服务SLS ⚫专有网络VPC ⚫弹性公网IPEIP ⚫负载均衡SLB ⚫云服务器ECS ⚫云数据库RDS ⚫云防火墙CFW

, templateId=null, freetry=null, visitTime=null, visitCount=null, video_url=null, buttonName=null, buttonUrl=null, targetId=null, partner=null, partnerUrl=null, partnerLogo=null, cooperation=null, cooperationList=null)
1 云上日志集中审计 最佳实践 部署架构 场景描述 解决问题 云上的各类云产品和客户部署的业务系统会产生各类 1. 所有日志集中到 SLS一个中心 project下。 日志,企业合规及安全运营等都需要在一个地方能 2. 满足等保合规和内部合规需求。 集中的查看和分析日志;目前各云产品日志大部分 3. 满足运维和安全运营需求。 都进了 sls,但都是产品独立的 project,不方便集中 审计;客户的业务系统日志各种形态都有;多云和混 合云的场景,日志也需要能集中审计。 产品列表 ⚫ 日志服务 SLS ⚫ 专有网络 VPC ⚫ 弹性公网 IP EIP ⚫ 负载均衡 SLB ⚫ 云服务器 ECS ⚫ 云数据库 RDS ⚫ 云防火墙 CFW
2云服务器 ECS(产品名称) 文档模板(手册名称)/文档版本信息 阿里云 企业上云实践 云上日志集中审计 最佳实践 文档版本:20200630(发布日期) 文档版本:20150122(发布日期) I
3云上日志集中审计 文档版本信息 文档版本信息 文本信息 属性 内容 文档名称 云上日志集中审计最佳实践 文档编号 148 文档版本 V1.2 版本日期 2020-06-30 文档状态 发布 制作人 懿弘 审阅人 敬海、宋宇 文档变更记录 版本编号 日期 作者 审核人 说明 V1.0 2020-03-02 云滴 敬海、宋宇 创建文档 V1.1 2020-03-11 筱晖 - 文档优化 V1.2 2020-06-30 懿弘 更新作者 文档版本:20200630(发布日期) I
4云上日志集中审计 目录 目录 文档版本信息 .............................................................................................................................................................. I 法律声明 ..................................................................................................................................................................... II 目录 ............................................................................................................................................................................ III 前置条件 ..................................................................................................................................................................... 1 1. 方案概述 ............................................................................................................................................................. 2 1.1. 场景介绍 ............................................................................................................................................. 2 1.2. 方案概述 ............................................................................................................................................. 3 1.3. 架构图 ................................................................................................................................................. 3 1.4. 方案优点 ............................................................................................................................................. 4 2. 开通日志审计应用 ............................................................................................................................................. 6 2.1. 日志审计功能 ..................................................................................................................................... 6 2.2. 开通日志审计 ..................................................................................................................................... 6 2.3. 产品审计示例 ................................................................................................................................... 10 3. 搭建云上经典网站 ........................................................................................................................................... 13 3.1. 通过 ROS方式部署 ........................................................................................................................... 13 3.1.1. 通过 ROS直接创建资源栈 ....................................................................................................... 14 3.1.2. 配置 wordpress.......................................................................................................................... 18 3.2. 通过控制台方式部署 ....................................................................................................................... 20 3.2.1. 创建环境 ................................................................................................................................... 20 3.2.2. 配置 wordpress.......................................................................................................................... 21 4. WEB服务日志采集 ........................................................................................................................................... 22 4.1. 创建 Web服务日志的 logstore ........................................................................................................ 22 4.2. 通过 logtail采集日志 ........................................................................................................................ 24 4.3. 查看采集的日志 ............................................................................................................................... 31 4.4. 创建仪表盘 ....................................................................................................................................... 32 5. 集中云安全产品日志 ....................................................................................................................................... 35 5.1. 开通云防火墙 ................................................................................................................................... 35 5.2. 创建目标 logstore ............................................................................................................................. 39 5.3. 获取 AK .............................................................................................................................................. 40 5.4. 迁移日志 ........................................................................................................................................... 40 5.5. 查询迁移后的日志 ........................................................................................................................... 44 5.6. 迁移仪表盘 ....................................................................................................................................... 46 6. 日志审计示例 ................................................................................................................................................... 50 6.1. 单产品的审计 ................................................................................................................................... 50 6.2. 跨产品的审计 ................................................................................................................................... 52 7. 跨账号的日志采集 ........................................................................................................................................... 55 8. IDC环境的日志采集 ......................................................................................................................................... 56 文档版本:20200630(发布日期) III
5 云上日志集中审计 前置条件 前置条件 在进行本文操作前,您需要完成以下准备工作: ⚫ 注册阿里云账号,并完成实名认证。您可以登录阿里云控制台,并前往实名认证页 面(https://account.console.aliyun.com/v2/#/authc/home)查看是否已经完成实名 认证。 ⚫ 阿里云账户余额大于 100 元。您可以登录阿里云控制台,并前往账户总览页面 (https://expense.console.aliyun.com/#/account/home)查看账户余额。 文档版本:20200630(发布日期) 1
6 云上日志集中审计 方案概述 1. 方案概述 1.1. 场景介绍 所谓的集中日志审计,就是把需要审计的所有类型日志,都集中到某个阿里云账号的 某个区域的日志项目 project下,进行集中审计。此处的集中审计的 project一般称为 中心 project。之所以要这么做,是因为 SLS服务目前只能支持 project下的多个 logstore的查询和审计,不支持跨 project的查询和审计。 日志集中审计,不论是在合规方面还是在安全运营分析、DevOps等业务场景方面, 都有强烈需求。 合规方面: ⚫ 2017年颁布的《网络安全法》中明确要求,“采取监测、记录网络运行状态、网络 安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”。 ⚫ 2019年实施的《网络安全等级保护 2.0标准》要求,“网络系统操作、重要存储操 作、计算系统操作、安全系统操作需详细记录,审计管理员的操作本身也需要记录 并审计”,“集中收集、集中分析,集中存储时长要求(180天以上) ;对审计数据 的保护(备份、防修改、覆盖、防止中断等); 需提供分析、监控报警等支持可疑 行为发现;需要提供数据汇集接口,供第三方审计”。 客户安全需求: ⚫ 客户的内部合规团队,可以基于日志集中审计来输出合规信息。 ⚫ 客户的安全运营团队,可以基于集中日志进行分析、调查,探究安全问题;也可以 对接安全运营中心 SOC,进行联动分析;基于完整的全量日志,客户可以自己做 出定制化的态势感知大屏。 客户 DevOps需求: ⚫ 开发可视化监控及告警系统。 ⚫ 客户可以基于系统运行日志,进行丰富的监控及智能调度系统。 阿里云日志审计应用,是日志服务 LOG的一个新的重要模块,也叫“应用”,提供多 账户下跨多云产品审计相关日志进行实时自动化中心化采集,并提供审计需要的存储、 文档版本:20200630(发布日期) 2
7 云上日志集中审计 方案概述 查询、信息汇总支持。目前覆盖 ActionTrail、OSS、SLB、RDS、API网关等基础产品 并支持自由对接到其他生态产品或自有 SOC中心。 1.2. 方案概述 本最佳实践支持多个云产品在多个区域的日志采集到一个区域下的一个日志项目下, 支持其他主账号的相关日志同步到同一日志项目下。 对于 OSS/SLB日志会先存储到区域 project再同步到中心 project,其他产品的日志不 经过区域 project、直接同步到中心 project的产品日志库中。 例如 OSS日志, 用户配置中心日志库在上海, 用户在 3个区域有 OSS的 Bucket,北 京、上海和深圳,那么日志服务会先分别采集 3个区域的 OSS日志到对应的区域项 目, 如: 北京 OSS的日志临时存储到: slsaudit-region-1234567-cn-beijing, 深圳 OSS 的日志临时存储到: slsaudit-region-1234567-cn-shenzh, 依次类推。 再在各个区域下 自动创建同步任务(数据加工类型),将数据传输到中心日志项目中: slsaudit-center- 1234567-cn-beijing。 当同步到区域数据采集并开启同步到中心后, 区域的数据只是临时的, 并不需要保存 很长时间, 根据用户配置默认是 7天或更久。 中心日志库的区域可以由客户自行选择,目前支持如下 6个区域:北京、上海、深圳、 杭州、呼和浩特、新加坡。 对于开通了云安全的产品(云安全中心、云防火墙、WAF等),我们强烈建议您的中 心日志库选在杭州 region。因为作为 SaaS服务类的云安全产品等,日志都是保存在 杭州 region,这样可以避免跨 region复制日志。 备注: 1. 云安全等各云产品后续也会逐步接入日志审计应用,这样就可以开通即用,不需要 手工操作;目前还是需要人工操作,如第五章的方式。 2. 公共云的青岛区域目前不支持同步功能, 因此青岛区域的 OSS/SLB日志无法同步 到中心库。 1.3. 架构图 支持跨账号、跨区域日志采集到中心区域。部分产品已经默认接入、开通即用,支持 手工接入或通过数据加工方式迁移;支持 IDC或它云日志接入。可以给第三审计产品 文档版本:20200630(发布日期) 3
8 云上日志集中审计 方案概述 提供数据。 SLS中日志存储的逻辑图: 1.4. 方案优点 ⚫ 完整数据采集:产品覆盖所有审计相关日志自动化采集(可接入 20+产品)。 ⚫ 配置简单与自动化:跨多主账号、自动实时发现新资源并实时采集;一键式配置 (一期支持 6个)。 ⚫ 丰富建模与分析功能:借助 SLS查询分析、加工、报表、告警、导出等功能,完 整支持审计场景下分析告警对接需求。 文档版本:20200630(发布日期) 4