您是否已经在使用了安骑士保护着成千上万的主机,并且有进一步的需求:
- 法规需要,要留存IT设备的日志一段时间。
- 主机上的登录、网络、进程日志等,可以清楚知道所有这些主机上发生的行为,需要基于此进行实时分析查询与报表建立,便于对系统整体有一个认知。
- 导出这些日志到其他系统,便于进一步管理。
如果是的,您可以开通安骑士主机日志导入到日志服务,进行实时分析查询,建立自己的规则报警,并使用开箱即用的多领域报表。
基本介绍
日志服务支持采集安骑士日志,并对采集到的安骑士相关日志进行实时查询与分析统计、通过多种可视化方式进行分析结果的直观展示。日志服务对安骑士相关日志的专业日志采集分析手段,可以简化您的操作审计和事件回溯,让您的工作更有效率。
前提条件
- 已开通日志服务。
- 已开通安骑士服务企业版本或更高版本
配置步骤
步骤1 准备Project和Logstore
在日志服务控制台中,在一个国内区域下创建一个项目和对应的Logstore,用于存放相关的安骑士日志。如:aegis_log
步骤2 日志采集授权
在日志服务控制台中,选择Logstore的【数据接入向导】,选择【安骑士日志】,点击下一步,在【数据源配置】页面中,单击快捷授权为日志服务授权,授权后日志服务有权限将安骑士日志分发到您的logstore中。
步骤3 配置查询分析
继续上面的步骤,选择下一步后,进入【查询分析 & 可视化】页面中,日志服务已预设了安骑士日志所需的查询索引,字段说明请查看安骑士日志格式。确认后单击下一步。
注意:系统默认为您创建3个特定的仪表盘,配置完成后您可以在仪表盘页面查看。
步骤4 关联安骑士日志
在安骑士控制台中,从导航菜单中选择【日志检索】> 【日志投递】,打开特定日志的投递开关,并选择步骤1中准备好的Project和Logstore。
也可以在态势感知控制台中,从导航菜单选择【更多功能】 > 【日志检索】 > 【日志投递】打开特定日志(前面7个)的投递开关,操作同上。
默认仪表盘
我们提供了3个开箱即用的报表中心:
网络中心
- 各种网络相关的提取汇总信息
- 有助于帮助快速识别、追踪和分析已知或未知网络攻击,网络病毒等
认证中心
- 各种登录事件的提取汇总信息
- 有助于帮助快速识别、追踪和分析已知或未知账户攻击,信息泄漏等
进程中心
- 各种进程启动的提取汇总信息
- 有助于帮助快速识别、追踪和分析已知或未知终端攻击,病毒木马和APT攻击等
更多参考视频:
安骑士日志格式
安骑士主机保护提供以下几种日志,搜索不同数据时,使用__topic__进行区分即可。
| 日志来源 | 描述 | 备注 |
|---|---|---|
| 进程启动日志 | 主机上进程启动信息 | 由安骑士agent采集,实时数据,进程一启动日志就上报 |
| 网络连接日志 | 主机上连接的五元组信息 | 由安骑士agent采集,windows为实时数据,linux为10秒采集,增量上报 |
| 系统登录日志 | SSH、RDP登录成功日志 | 由安骑士agent采集,准实时数据 |
| 暴力破解日志 | 登录失败的日志 | 由安骑士agent采集,准实时的登录失败日志 |
| 进程快照 | 主机上进程快照信息 | 若在安骑士-资产指纹中开启了自动收集则会有数据,快照形式,每台机器一天非固定时间收集一次当时运行进程信息 |
| 账户快照 | 主机上账户快照信息 | 若在安骑士-资产指纹中开启了自动收集则会有数据,快照形式,每台机器一天非固定时间收集一次当时的账号信息 |
| 端口侦听快照 | 主机上端口侦听快照信息 | 若在安骑士-资产指纹中开启了自动收集则会有数据,快照形式,每台机器一天非固定时间收集一次当时的端口侦听信息 |
进程启动日志
| 字段名 | 名称 | 例子 | 备注 |
|---|---|---|---|
| __time__ | 连接时间 | 2018-02-27 11:58:15 | 元数据字段 |
| __topic__ | 主题 | 固定为aegis-log-process | |
| uuid | 客户端号 | 5d83b26b-b7ca-4a0a-9267-123456 | |
| ip | 客户端机器IP | 1.2.3.4 | |
| cmdline | 用户启动完整命令行 | cmd.exe /C "netstat -ano“ | |
| username | 用户名 | administrator | |
| uid | 用户ID | 123 | |
| pid | 进程ID | 7100 | |
| filename | 进程文件名 | cmd.exe | |
| filepath | 进程文件完整路径 | C:/Windows/SysWOW64/cmd.exe | |
| groupname | 用户组 | group1 | |
| ppid | 父进程ID | 2296 | |
| pfilename | 父进程文件名 | client.exe | |
| pfilepath | 父进程文件完整路径 | D:/client/client.exe | - |
进程快照
| 字段名 | 名称 | 例子 | 备注 |
|---|---|---|---|
| __time__ | 数据获取时间 | 2018-02-27 11:58:15 | 元数据字段 |
| __topic__ | 主题 | 固定为aegis-snapshot-process | |
| uuid | 客户端号 | 5d83b26b-b7ca-4a0a-9267-123456 | |
| ip | 客户端机器IP | 1.2.3.4 | |
| cmdline | 用户启动完整命令行 | cmd.exe /C "netstat -ano" | |
| pid | 进程ID | 7100 | |
| name | 进程文件名 | cmd.exe | |
| path | 进程文件完整路径 | C:/Windows/SysWOW64/cmd.exe | |
| md5 | 进程文件名MD5 | d0424c22dfa03f6e4d5289f7f5934dd4 | 超过1MB的进程文件不进行计算 |
| pname | 父进程文件名 | client.exe | |
| start_time | 进程启动时间 | 2018-01-18 20:00:12 | 内置字段 |
| user | 用户名 | administrator | |
| uid | 用户ID | 123 | - |
登录日志
注意:1分钟内的重复登录时间会被合并为1条日志,在字段warn_count中体现次数
| 字段名 | 名称 | 例子 | 备注 |
|---|---|---|---|
| __time__ | 连接时间 | 2018-02-27 11:58:15 | 元数据字段 |
| __topic__ | 主题 | 固定为aegis-log-login | |
| uuid | 客户端号 | 5d83b26b-b7ca-4a0a-9267-123456 | |
| ip | 客户端机器IP | 1.2.3.4 | |
| warn_ip | 登录来源IP | 1.2.3.4 | |
| warn_port | 登录端口 | 22 | |
| warn_type | 登录类型 | SSHLOGIN | 可能值有:SSHLOGIN(SSH登录)、RDPLOGIN(远程桌面登录)、IPCLOGIN等 |
| warn_user | 登录用户名 | admin | |
| warn_count | 登录次数 | 3 | 表示这次登录前1分钟内还发送了2次 |
暴力破解日志
| 字段名 | 名称 | 例子 | 备注 |
|---|---|---|---|
| __time__ | 连接时间 | 2018-02-27 11:58:15 | 元数据字段 |
| __topic__ | 主题 | 固定为aegis-log-crack | |
| uuid | 客户端号 | 5d83b26b-b7ca-4a0a-9267-123456 | |
| ip | 客户端机器IP | 1.2.3.4 | |
| warn_ip | 登录来源IP | 1.2.3.4 | |
| warn_port | 登录端口 | 22 | |
| warn_type | 登录类型 | SSHLOGIN | 可能值有:SSHLOGIN(SSH登录)、RDPLOGIN(远程桌面登录)、IPCLOGIN等 |
| warn_user | 登录用户名 | admin | |
| warn_count | 失败登录次数 | 3 | - |
网络连接
注意 安骑士每隔10秒到1分钟会收集一下变化的网络连接,而一个网络连接的状态从建立到结束的过程中会部分状态会被收集到。
| 字段名 | 名称 | 例子 | 备注 |
|---|---|---|---|
| __time__ | 连接时间 | 2018-02-27 11:58:15 | 元数据字段 |
| __topic__ | 主题 | 固定为aegis-log-network | |
| uuid | 客户端号 | 5d83b26b-b7ca-4a0a-9267-123456 | |
| ip | 客户端机器IP | 1.2.3.4 | |
| src_ip | 源IP | 1.2.3.4 | |
| src_port | 源端口 | 41897 | |
| dst_ip | 目标IP | 1.2.3.4 | |
| dst_port | 目标端口 | 22 | |
| proc_name | 进程名 | java | |
| proc_path | 进程路径 | /hsdata/jdk1.7.0_79/bin/java | |
| proto | 协议 | tcp | 其他可能的协议有udp和raw(表示raw socket) |
| status | 连接状态 | 5 | 完整连接状态列表和描述,请参考网络连接状态描述 |
端口监听快照
| 字段名 | 名称 | 例子 | 备注 |
|---|---|---|---|
| __time__ | 数据获取时间 | 2018-02-27 11:58:15 | 元数据字段 |
| __topic__ | 主题 | 固定为aegis-snapshot-port | |
| uuid | 客户端号 | 5d83b26b-b7ca-4a0a-9267-123456 | |
| ip | 客户端机器IP | 1.2.3.4 | |
| proto | 协议 | tcp | 其他可能的协议有udp和raw(表示raw socket) |
| src_ip | 监听IP | 1.2.3.4 | |
| src_port | 监听端口 | 41897 | |
| pid | 进程ID | 7100 | |
| proc_name | 进程名 | java | - |
账户快照
| 字段名 | 名称 | 例子 | 备注 |
|---|---|---|---|
| __time__ | 连接时间 | 2018-02-27 11:58:15 | 元数据字段 |
| __topic__ | 主题 | 固定为aegis-snapshot-account | |
| uuid | 客户端号 | 5d83b26b-b7ca-4a0a-9267-123456 | |
| ip | 客户端机器IP | 1.2.3.4 | |
| user | 用户 | nscd | |
| perm | 是否拥有root权限 | 0 | 0-没有,1-有 |
| home_dir | home目录 | /Users/abc | |
| groups | 用户属于的组 | ["users", "root"] | 不属于任何组时为N/A |
| last_chg | 密码最后修改日期 | 2017-08-24 | |
| shell | linux的shell命令 | /sbin/nologin | |
| domain | windows域 | administrator | 不属于任何域为N/A |
| tty | 登录的终端 | pts/3 | 不适用时为N/A |
| warn_time | 密码到期提醒日期 | 2017-08-24 | 永不提醒时为never |
| account_expire | 账号超期日期 | 2017-08-24 | 永不过期时为never |
| passwd_expire | 密码超期日期 | 2017-08-24 | 永不过期时为never |
| login_ip | 最后一次登录的远程ip地址 | 1.2.3.4 | 不适用时为N/A |
| last_logon | 最后一次登录的日期和时间 | 2017-08-21 09:21:21 | 不适用时为N/A |
| status | 用户状态 | 0 | 0-禁用、1-正常 |
网络连接状态描述
| 状态值 | 描述 |
|---|---|
| 1 | closed |
| 2 | listen |
| 3 | syn send |
| 4 | syn recv |
| 5 | establisted |
| 6 | close wait |
| 7 | closing |
| 8 | fin_wait1 |
| 9 | fin_wait2 |
| 10 | time_wait |
| 11 | delete_tcb |
- 扫码加入官方钉钉群 (11775223):
