从阿里云华北5区开通VPC流日志以来,我一直在跟踪这个产品。这是一款可以采集VPC边界流量会话日志的先进产品;使用该产品后,企业安全和运维团队终于可以从流量视角全面分析安全威胁,安全检测能力将大幅增强。
今天咱们就来做一个如何使用VPC流日志这款产品如何实现安全分析的案例
概述
VPC流日志
按照官方说明:
VPC提供流日志功能,可以记录VPC网络中弹性网卡(ENI)的传入和传出流量信息,帮助您检查访问控制规则、监控网络流量、进行网络故障排查。
VPC流日志可以记录哪些内容?
您可以捕获指定弹性网卡的流量,也可以捕获指定VPC或交换机的流量。如果选择为VPC或交换机创建流日志,则会捕获VPC和交换机中所有弹性网卡的流量,包括在开启流日志功能后新建的弹性网卡。
捕捉到的流量信息存储在阿里云日志服务中,您可以在日志服务中查看和分析相关数据。流日志功能测试期间暂不收取费用,日志服务将收取相应的存储和检索费用。详细信息,请参见日志服务计费。
'流日志功能捕获的流量信息会以流日志记录的方式写入日志服务中。每条流日志记录会捕获特定捕获窗口中的特定五元组网络流,捕获窗口大约为10分钟,该段时间内流日志服务会先聚合数据,然后再发布流日志记录。'
具体怎么用?
如果你想快速体验这款产品,可以考虑如下步骤:
- 创建一个SLS的日志项目,并为之分配一个logstore
- 在VPC内创建一个流日志项目,并将日志的存储绑定到你的logstore
- 启动流日志产品
- 几分钟后去SLS控制台查看VPC流日志的强大审计功能
- 根据自己的需要查询分析日志或定制监控仪表板
VPC流日志产品实战操作
为了帮助大家以最快地速度体验到这款产品,我来介绍一个实例操作。
准备好日志存储服务
登录SLS控制台,创建一个日志存储项目,如下:
之后,进入该项目,在项目内创建Logstore。Logstore是Project的资源集合,Logstore中的所有数据都来自于同一个数据源。通常创建Project后,您需要创建Logstore。
创建和启动VPC流日志
进入专有网络VPC产品界面,点击左侧菜单按钮中【流日志】选项。
点击【创建流日志】,进行参数配置。
资源类型可以选择:
- 弹性网卡(可以针对某个具体要关注的ECS网卡流量)
- 交换机(针对VPC内某交换机下的所有流量)
- 专有网络(针对整个VPC边界的网络流量,建议按需配置使用)
流量类型支持:
- 全部流量
- 被访问控制策略允许的流量
- 被访问控制策略拒绝的流量
在【logstore】处选择并设置好自己的Project Name和Logstore Name。
注意:logstore和VPC 流日志必须在一个计算区域,如:华北5
点击【确定】按钮后,完成流日志项目的创建,并等待启动。
使用VPC流日志进行安全分析
VPC流日志服务启动后,稍等片刻即可进入日志区进行日志查询和分析。进入SLS控制台,最直接的日志展示效果如下:
用户可以根据自己的需要,自定义查询条件,查询分析日志流里所有网络会话的流量日志。例如,查看所有目标端口的22的网络会话,并对源IP进行统计分组聚合。
查询语句:SELECT srcaddr, count(*) as number GROUP BY srcaddr LIMIT 10,效果如下:
当然用户还可以根据自己需要做其他的图表展示。
甚至还可以根据自定义需求,将VPC流日志的分析结果以Dashboard方式进行大屏展现,如下:
这样使用VPC流日志,是不是很酷?
总结
阿里云VPC流日志为运维和安全人员提供了重要的辅助攻击,特别是针对安全事件分析和攻击溯源类的需求。平台提供了更加底层的统一能力,这让安全人员得以实现更大自由度的发挥,打破了过去只能依靠主机安全和WAF类日志做分析的局面。
官方介绍:目前,仅华北5(呼和浩特)、马来西亚(吉隆坡)、印度尼西亚(雅加达)、英国(伦敦)、印度(孟买)地域支持流日志功能。但实际已经有越来越多的区域正在逐步支持,期待你的创新使用:)
