BpFile(id=283, bpId=148, name=云上日志集中审计, author=null, keyword=日志审计, description=在SLS的日志审计应用的基础上,集中汇聚云安全产品日志、Web服务日志等,进行集中审计。, position=null, ossUrl=bp-BAFRYH51V51Z9KXD.pdf, tags=null, level=null, tagList=null, products=null, productList=null, hotspot=null, oneClick=0, createTime=null, modifiedTime=null, timeConsuming=null, status=1, pdfDescription=
场景描述
云上的各类云产品和客户部署的业务系统会产生各类
日志,企业合规及安全运营等都需要在一个地方能
集中的查看和分析日志;目前各云产品日志大部分
都进了sls,但都是产品独立的project,不方便集中
审计;客户的业务系统日志各种形态都有;多云和混
合云的场景,日志也需要能集中审计。
解决问题
1.所有日志集中到SLS一个中心project下。
2.满足等保合规和内部合规需求。
3.满足运维和安全运营需求。
产品列表
⚫日志服务SLS
⚫专有网络VPC
⚫弹性公网IPEIP
⚫负载均衡SLB
⚫云服务器ECS
⚫云数据库RDS
⚫云防火墙CFW
, templateId=null, freetry=null, visitTime=null, visitCount=null, video_url=null, buttonName=null, buttonUrl=null, targetId=null, partner=null, partnerUrl=null, partnerLogo=null, cooperation=null, cooperationList=null)
1
云上日志集中审计 最佳实践
部署架构
场景描述
解决问题
云上的各类云产品和客户部署的业务系统会产生各类
1. 所有日志集中到 SLS一个中心 project下。
日志,企业合规及安全运营等都需要在一个地方能
2. 满足等保合规和内部合规需求。
集中的查看和分析日志;目前各云产品日志大部分
3. 满足运维和安全运营需求。
都进了 sls,但都是产品独立的 project,不方便集中
审计;客户的业务系统日志各种形态都有;多云和混
合云的场景,日志也需要能集中审计。
产品列表
⚫ 日志服务 SLS
⚫ 专有网络 VPC
⚫ 弹性公网 IP EIP
⚫ 负载均衡 SLB
⚫ 云服务器 ECS
⚫ 云数据库 RDS
⚫ 云防火墙 CFW
2云服务器 ECS(产品名称) 文档模板(手册名称)/文档版本信息
阿里云
企业上云实践
云上日志集中审计
最佳实践
文档版本:20200630(发布日期)
文档版本:20150122(发布日期) I
3云上日志集中审计 文档版本信息
文档版本信息
文本信息
属性 内容
文档名称 云上日志集中审计最佳实践
文档编号 148
文档版本 V1.2
版本日期 2020-06-30
文档状态 发布
制作人 懿弘
审阅人 敬海、宋宇
文档变更记录
版本编号 日期 作者 审核人 说明
V1.0 2020-03-02 云滴 敬海、宋宇 创建文档
V1.1 2020-03-11 筱晖 - 文档优化
V1.2 2020-06-30 懿弘 更新作者
文档版本:20200630(发布日期) I
4云上日志集中审计 目录
目录
文档版本信息 .............................................................................................................................................................. I
法律声明 ..................................................................................................................................................................... II
目录 ............................................................................................................................................................................ III
前置条件 ..................................................................................................................................................................... 1
1. 方案概述 ............................................................................................................................................................. 2
1.1. 场景介绍 ............................................................................................................................................. 2
1.2. 方案概述 ............................................................................................................................................. 3
1.3. 架构图 ................................................................................................................................................. 3
1.4. 方案优点 ............................................................................................................................................. 4
2. 开通日志审计应用 ............................................................................................................................................. 6
2.1. 日志审计功能 ..................................................................................................................................... 6
2.2. 开通日志审计 ..................................................................................................................................... 6
2.3. 产品审计示例 ................................................................................................................................... 10
3. 搭建云上经典网站 ........................................................................................................................................... 13
3.1. 通过 ROS方式部署 ........................................................................................................................... 13
3.1.1. 通过 ROS直接创建资源栈 ....................................................................................................... 14
3.1.2. 配置 wordpress.......................................................................................................................... 18
3.2. 通过控制台方式部署 ....................................................................................................................... 20
3.2.1. 创建环境 ................................................................................................................................... 20
3.2.2. 配置 wordpress.......................................................................................................................... 21
4. WEB服务日志采集 ........................................................................................................................................... 22
4.1. 创建 Web服务日志的 logstore ........................................................................................................ 22
4.2. 通过 logtail采集日志 ........................................................................................................................ 24
4.3. 查看采集的日志 ............................................................................................................................... 31
4.4. 创建仪表盘 ....................................................................................................................................... 32
5. 集中云安全产品日志 ....................................................................................................................................... 35
5.1. 开通云防火墙 ................................................................................................................................... 35
5.2. 创建目标 logstore ............................................................................................................................. 39
5.3. 获取 AK .............................................................................................................................................. 40
5.4. 迁移日志 ........................................................................................................................................... 40
5.5. 查询迁移后的日志 ........................................................................................................................... 44
5.6. 迁移仪表盘 ....................................................................................................................................... 46
6. 日志审计示例 ................................................................................................................................................... 50
6.1. 单产品的审计 ................................................................................................................................... 50
6.2. 跨产品的审计 ................................................................................................................................... 52
7. 跨账号的日志采集 ........................................................................................................................................... 55
8. IDC环境的日志采集 ......................................................................................................................................... 56
文档版本:20200630(发布日期) III
5
云上日志集中审计 前置条件
前置条件
在进行本文操作前,您需要完成以下准备工作:
⚫ 注册阿里云账号,并完成实名认证。您可以登录阿里云控制台,并前往实名认证页
面(https://account.console.aliyun.com/v2/#/authc/home)查看是否已经完成实名
认证。
⚫ 阿里云账户余额大于 100 元。您可以登录阿里云控制台,并前往账户总览页面
(https://expense.console.aliyun.com/#/account/home)查看账户余额。
文档版本:20200630(发布日期) 1
6
云上日志集中审计 方案概述
1. 方案概述
1.1. 场景介绍
所谓的集中日志审计,就是把需要审计的所有类型日志,都集中到某个阿里云账号的
某个区域的日志项目 project下,进行集中审计。此处的集中审计的 project一般称为
中心 project。之所以要这么做,是因为 SLS服务目前只能支持 project下的多个
logstore的查询和审计,不支持跨 project的查询和审计。
日志集中审计,不论是在合规方面还是在安全运营分析、DevOps等业务场景方面,
都有强烈需求。
合规方面:
⚫ 2017年颁布的《网络安全法》中明确要求,“采取监测、记录网络运行状态、网络
安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”。
⚫ 2019年实施的《网络安全等级保护 2.0标准》要求,“网络系统操作、重要存储操
作、计算系统操作、安全系统操作需详细记录,审计管理员的操作本身也需要记录
并审计”,“集中收集、集中分析,集中存储时长要求(180天以上) ;对审计数据
的保护(备份、防修改、覆盖、防止中断等); 需提供分析、监控报警等支持可疑
行为发现;需要提供数据汇集接口,供第三方审计”。
客户安全需求:
⚫ 客户的内部合规团队,可以基于日志集中审计来输出合规信息。
⚫ 客户的安全运营团队,可以基于集中日志进行分析、调查,探究安全问题;也可以
对接安全运营中心 SOC,进行联动分析;基于完整的全量日志,客户可以自己做
出定制化的态势感知大屏。
客户 DevOps需求:
⚫ 开发可视化监控及告警系统。
⚫ 客户可以基于系统运行日志,进行丰富的监控及智能调度系统。
阿里云日志审计应用,是日志服务 LOG的一个新的重要模块,也叫“应用”,提供多
账户下跨多云产品审计相关日志进行实时自动化中心化采集,并提供审计需要的存储、
文档版本:20200630(发布日期) 2
7
云上日志集中审计 方案概述
查询、信息汇总支持。目前覆盖 ActionTrail、OSS、SLB、RDS、API网关等基础产品
并支持自由对接到其他生态产品或自有 SOC中心。
1.2. 方案概述
本最佳实践支持多个云产品在多个区域的日志采集到一个区域下的一个日志项目下,
支持其他主账号的相关日志同步到同一日志项目下。
对于 OSS/SLB日志会先存储到区域 project再同步到中心 project,其他产品的日志不
经过区域 project、直接同步到中心 project的产品日志库中。
例如 OSS日志, 用户配置中心日志库在上海, 用户在 3个区域有 OSS的 Bucket,北
京、上海和深圳,那么日志服务会先分别采集 3个区域的 OSS日志到对应的区域项
目, 如: 北京 OSS的日志临时存储到: slsaudit-region-1234567-cn-beijing, 深圳 OSS
的日志临时存储到: slsaudit-region-1234567-cn-shenzh, 依次类推。 再在各个区域下
自动创建同步任务(数据加工类型),将数据传输到中心日志项目中: slsaudit-center-
1234567-cn-beijing。
当同步到区域数据采集并开启同步到中心后, 区域的数据只是临时的, 并不需要保存
很长时间, 根据用户配置默认是 7天或更久。
中心日志库的区域可以由客户自行选择,目前支持如下 6个区域:北京、上海、深圳、
杭州、呼和浩特、新加坡。
对于开通了云安全的产品(云安全中心、云防火墙、WAF等),我们强烈建议您的中
心日志库选在杭州 region。因为作为 SaaS服务类的云安全产品等,日志都是保存在
杭州 region,这样可以避免跨 region复制日志。
备注:
1. 云安全等各云产品后续也会逐步接入日志审计应用,这样就可以开通即用,不需要
手工操作;目前还是需要人工操作,如第五章的方式。
2. 公共云的青岛区域目前不支持同步功能, 因此青岛区域的 OSS/SLB日志无法同步
到中心库。
1.3. 架构图
支持跨账号、跨区域日志采集到中心区域。部分产品已经默认接入、开通即用,支持
手工接入或通过数据加工方式迁移;支持 IDC或它云日志接入。可以给第三审计产品
文档版本:20200630(发布日期) 3
8
云上日志集中审计 方案概述
提供数据。
SLS中日志存储的逻辑图:
1.4. 方案优点
⚫ 完整数据采集:产品覆盖所有审计相关日志自动化采集(可接入 20+产品)。
⚫ 配置简单与自动化:跨多主账号、自动实时发现新资源并实时采集;一键式配置
(一期支持 6个)。
⚫ 丰富建模与分析功能:借助 SLS查询分析、加工、报表、告警、导出等功能,完
整支持审计场景下分析告警对接需求。
文档版本:20200630(发布日期) 4