安骑士主机日志实时分析功能
您是否已经在使用了安骑士保护着成千上万的主机,并且有进一步的需求:
- 法规需要,要留存IT设备的日志一段时间。
- 主机上的登录、网络、进程日志等,可以清楚知道所有这些主机上发生的行为,需要基于此进行实时分析查询与报表建立,便于对系统整体有一个认知。
- 导出这些日志到其他系统,便于进一步管理。
如果是的,您可以开通安骑士主机日志导入到日志服务,进行实时分析查询,建立自己的规则报警,并使用开箱即用的多领域报表。
基本介绍
日志服务支持采集安骑士日志,并对采集到的安骑士相关日志进行实时查询与分析统计、通过多种可视化方式进行分析结果的直观展示。日志服务对安骑士相关日志的专业日志采集分析手段,可以简化您的操作审计和事件回溯,让您的工作更有效率。
前提条件
- 已开通日志服务。
- 已开通安骑士服务企业版本或更高版本
配置步骤
步骤1 准备Project和Logstore
在日志服务控制台中,在一个国内区域下创建一个项目和对应的Logstore,用于存放相关的安骑士日志。如:aegis_log
步骤2 日志采集授权
在日志服务控制台中,选择Logstore的【数据接入向导】,选择【安骑士日志】,点击下一步,在【数据源配置】页面中,单击快捷授权为日志服务授权,授权后日志服务有权限将安骑士日志分发到您的logstore中。
步骤3 配置查询分析
继续上面的步骤,选择下一步后,进入【查询分析 & 可视化】页面中,日志服务已预设了安骑士日志所需的查询索引,字段说明请查看安骑士日志格式。确认后单击下一步。
注意:系统默认为您创建3个特定的仪表盘,配置完成后您可以在仪表盘页面查看。
步骤4 关联安骑士日志
在安骑士控制台中,从导航菜单中选择【日志检索】> 【日志投递】,打开特定日志的投递开关,并选择步骤1中准备好的Project和Logstore。
也可以在态势感知控制台中,从导航菜单选择【更多功能】 > 【日志检索】 > 【日志投递】打开特定日志(前面7个)的投递开关,操作同上。
默认仪表盘
我们提供了3个开箱即用的报表中心:
网络中心
- 各种网络相关的提取汇总信息
- 有助于帮助快速识别、追踪和分析已知或未知网络攻击,网络病毒等
认证中心
- 各种登录事件的提取汇总信息
- 有助于帮助快速识别、追踪和分析已知或未知账户攻击,信息泄漏等
进程中心
- 各种进程启动的提取汇总信息
- 有助于帮助快速识别、追踪和分析已知或未知终端攻击,病毒木马和APT攻击等
更多参考视频:
安骑士日志格式
安骑士主机保护提供以下几种日志,搜索不同数据时,使用__topic__进行区分即可。
| 日志来源 | 描述 | 备注 |
|---|---|---|
| 进程启动日志 | 主机上进程启动信息 | 由安骑士agent采集,实时数据,进程一启动日志就上报 |
| 网络连接日志 | 主机上连接的五元组信息 | 由安骑士agent采集,windows为实时数据,linux为10秒采集,增量上报 |
| 系统登录日志 | SSH、RDP登录成功日志 | 由安骑士agent采集,准实时数据 |
| 暴力破解日志 | 登录失败的日志 | 由安骑士agent采集,准实时的登录失败日志 |
| 进程快照 | 主机上进程快照信息 | 若在安骑士-资产指纹中开启了自动收集则会有数据,快照形式,每台机器一天非固定时间收集一次当时运行进程信息 |
| 账户快照 | 主机上账户快照信息 | 若在安骑士-资产指纹中开启了自动收集则会有数据,快照形式,每台机器一天非固定时间收集一次当时的账号信息 |
| 端口侦听快照 | 主机上端口侦听快照信息 | 若在安骑士-资产指纹中开启了自动收集则会有数据,快照形式,每台机器一天非固定时间收集一次当时的端口侦听信息 |
进程启动日志
| 字段名 | 名称 | 例子 | 备注 |
|---|---|---|---|
| __time__ | 连接时间 | 2018-02-27 11:58:15 | 元数据字段 |
| __topic__ | 主题 | 固定为aegis-log-process | |
| uuid | 客户端号 | 5d83b26b-b7ca-4a0a-9267-123456 | |
| ip | 客户端机器IP | 1.2.3.4 | |
| cmdline | 用户启动完整命令行 | cmd.exe /C "netstat -ano“ | |
| username | 用户名 | administrator | |
| uid | 用户ID | 123 | |
| pid | 进程ID | 7100 | |
| filename | 进程文件名 | cmd.exe | |
| filepath | 进程文件完整路径 | C:/Windows/SysWOW64/cmd.exe | |
| groupname | 用户组 | group1 | |
| ppid | 父进程ID | 2296 | |
| pfilename | 父进程文件名 | client.exe | |
| pfilepath | 父进程文件完整路径 | D:/client/client.exe | - |
进程快照
| 字段名 | 名称 | 例子 | 备注 |
|---|---|---|---|
| __time__ | 数据获取时间 | 2018-02-27 11:58:15 | 元数据字段 |
| __topic__ | 主题 | 固定为aegis-snapshot-process | |
| uuid | 客户端号 | 5d83b26b-b7ca-4a0a-9267-123456 | |
| ip | 客户端机器IP | 1.2.3.4 | |
| cmdline | 用户启动完整命令行 | cmd.exe /C "netstat -ano" | |
| pid | 进程ID | 7100 | |
| name | 进程文件名 | cmd.exe | |
| path | 进程文件完整路径 | C:/Windows/SysWOW64/cmd.exe | |
| md5 | 进程文件名MD5 | d0424c22dfa03f6e4d5289f7f5934dd4 | 超过1MB的进程文件不进行计算 |
| pname | 父进程文件名 | client.exe | |
| start_time | 进程启动时间 | 2018-01-18 20:00:12 | 内置字段 |
| user | 用户名 | administrator | |
| uid | 用户ID | 123 | - |
登录日志
注意:1分钟内的重复登录时间会被合并为1条日志,在字段warn_count中体现次数
| 字段名 | 名称 | 例子 | 备注 |
|---|---|---|---|
| __time__ | 连接时间 | 2018-02-27 11:58:15 | 元数据字段 |
| __topic__ | 主题 | 固定为aegis-log-login | |
| uuid | 客户端号 | 5d83b26b-b7ca-4a0a-9267-123456 | |
| ip | 客户端机器IP | 1.2.3.4 | |
| warn_ip | 登录来源IP | 1.2.3.4 | |
| warn_port | 登录端口 | 22 | |
| warn_type | 登录类型 | SSHLOGIN | 可能值有:SSHLOGIN(SSH登录)、RDPLOGIN(远程桌面登录)、IPCLOGIN等 |
| warn_user | 登录用户名 | admin | |
| warn_count | 登录次数 | 3 | 表示这次登录前1分钟内还发送了2次 |
暴力破解日志
| 字段名 | 名称 | 例子 | 备注 |
|---|---|---|---|
| __time__ | 连接时间 | 2018-02-27 11:58:15 | 元数据字段 |
| __topic__ | 主题 | 固定为aegis-log-crack | |
| uuid | 客户端号 | 5d83b26b-b7ca-4a0a-9267-123456 | |
| ip | 客户端机器IP | 1.2.3.4 | |
| warn_ip | 登录来源IP | 1.2.3.4 | |
| warn_port | 登录端口 | 22 | |
| warn_type | 登录类型 | SSHLOGIN | 可能值有:SSHLOGIN(SSH登录)、RDPLOGIN(远程桌面登录)、IPCLOGIN等 |
| warn_user | 登录用户名 | admin | |
| warn_count | 失败登录次数 | 3 | - |
网络连接
注意 安骑士每隔10秒到1分钟会收集一下变化的网络连接,而一个网络连接的状态从建立到结束的过程中会部分状态会被收集到。
| 字段名 | 名称 | 例子 | 备注 |
|---|---|---|---|
| __time__ | 连接时间 | 2018-02-27 11:58:15 | 元数据字段 |
| __topic__ | 主题 | 固定为aegis-log-network | |
| uuid | 客户端号 | 5d83b26b-b7ca-4a0a-9267-123456 | |
| ip | 客户端机器IP | 1.2.3.4 | |
| src_ip | 源IP | 1.2.3.4 | |
| src_port | 源端口 | 41897 | |
| dst_ip | 目标IP | 1.2.3.4 | |
| dst_port | 目标端口 | 22 | |
| proc_name | 进程名 | java | |
| proc_path | 进程路径 | /hsdata/jdk1.7.0_79/bin/java | |
| proto | 协议 | tcp | 其他可能的协议有udp和raw(表示raw socket) |
| status | 连接状态 | 5 | 完整连接状态列表和描述,请参考网络连接状态描述 |
端口监听快照
| 字段名 | 名称 | 例子 | 备注 |
|---|---|---|---|
| __time__ | 数据获取时间 | 2018-02-27 11:58:15 | 元数据字段 |
| __topic__ | 主题 | 固定为aegis-snapshot-port | |
| uuid | 客户端号 | 5d83b26b-b7ca-4a0a-9267-123456 | |
| ip | 客户端机器IP | 1.2.3.4 | |
| proto | 协议 | tcp | 其他可能的协议有udp和raw(表示raw socket) |
| src_ip | 监听IP | 1.2.3.4 | |
| src_port | 监听端口 | 41897 | |
| pid | 进程ID | 7100 | |
| proc_name | 进程名 | java | - |
账户快照
| 字段名 | 名称 | 例子 | 备注 |
|---|---|---|---|
| __time__ | 连接时间 | 2018-02-27 11:58:15 | 元数据字段 |
| __topic__ | 主题 | 固定为aegis-snapshot-account | |
| uuid | 客户端号 | 5d83b26b-b7ca-4a0a-9267-123456 | |
| ip | 客户端机器IP | 1.2.3.4 | |
| user | 用户 | nscd | |
| perm | 是否拥有root权限 | 0 | 0-没有,1-有 |
| home_dir | home目录 | /Users/abc | |
| groups | 用户属于的组 | ["users", "root"] |
不属于任何组时为N/A
|
| last_chg | 密码最后修改日期 | 2017-08-24 | |
| shell | linux的shell命令 | /sbin/nologin | |
| domain | windows域 | administrator |
不属于任何域为N/A
|
| tty | 登录的终端 | pts/3 |
不适用时为N/A
|
| warn_time | 密码到期提醒日期 | 2017-08-24 |
永不提醒时为never
|
| account_expire | 账号超期日期 | 2017-08-24 |
永不过期时为never
|
| passwd_expire | 密码超期日期 | 2017-08-24 |
永不过期时为never
|
| login_ip | 最后一次登录的远程ip地址 | 1.2.3.4 |
不适用时为N/A
|
| last_logon | 最后一次登录的日期和时间 | 2017-08-21 09:21:21 |
不适用时为N/A
|
| status | 用户状态 | 0 | 0-禁用、1-正常 |
网络连接状态描述
| 状态值 | 描述 |
|---|---|
| 1 | closed |
| 2 | listen |
| 3 | syn send |
| 4 | syn recv |
| 5 | establisted |
| 6 | close wait |
| 7 | closing |
| 8 | fin_wait1 |
| 9 | fin_wait2 |
| 10 | time_wait |
| 11 | delete_tcb |
- 扫码加入官方钉钉群 (11775223):
安骑士主机日志实时分析功能相关推荐
- 重磅发布:阿里云服务器安全(安骑士)日志 - 实时分析
背景 云资产安全形势 信息时代越来越发达,网络信息安全形势愈加严峻,刚刚过去的2018年,安全事件频发且非常严重.2018年1月爆出幽灵漏洞严重影响大面积的CPU.操作系统.路由器等基础设施.3月份F ...
- 阿里云企业版安骑士与基础版功能差异
阿里云安骑士是一款经受百万级主机稳定性考验的主机安全加固产品,支持自动化实时入侵威胁检测.病毒查杀.漏洞智能修复.基线一键检查.网页防篡改等功能,是构建主机安全防线的统一管理平台. 企业版安骑士与基础 ...
- 阿里云安骑士免费基础版和付费企业版功能区别及作用
阿里云为每台ECS云服务器配备了免费基础版的安骑士,如果想获取更多功能,用户可以升级到付费的企业版,那么安骑士基础版和企业版有哪些区别?值不值得付费购买企业版安骑士呢?阿里云百科网帮大家对比下: 详细 ...
- 如何用好安骑士(最佳实践)
产品简介及实践目标 安骑士最佳实践图 一句话解释什么是安骑士 安骑士是一款安装在ECS上的安全软件(支持非阿里云) 实践目标 充分了解安骑士产品的功能,可使用安骑士进行日常的安全管理,"看见 ...
- 阿里云安骑士购买优惠攻略以及使用实践教程
很多人问我阿里云安骑士值不值得购买?说发现最近阿里的安骑士总是提示有漏洞,因为是基础版的,看不到漏洞详情. 我来说下,觉得还是有必要装的,我自己也有阿里云主机,前一阵子/tmp目录下多了很多的jrli ...
- 从安装、管理到防御,阿里云安骑士全向测评
对于黑客而言,服务器是最理想的肉鸡.而当前云计算系统中的海量云主机资源,更是黑客面前的美味大餐.开源系统,本身就存在着比较严重的系统安全漏洞问题,容易使黑客趁虚而入.而虚拟系统安全管理手段匮乏,又进一 ...
- 从安装、管理到防御_阿里云安骑士全向测评
对于黑客而言,服务器是最理想的肉鸡.而当前云计算系统中的海量云主机资源,更是黑客面前的美味大餐.开源系统,本身就存在着比较严重的系统安全漏洞问题,容易使黑客趁虚而入.而虚拟系统安全管理手段匮乏,又进一 ...
- 阿里云DDoS高防 - 访问与攻击日志实时分析(四)
摘要: 本文介绍了DDoS日志实时分析功能的费用计量细节与案例. 概述 本文介绍了DDoS日志的费用计量细节与案例. 费用概述 DDoS日志分析与报表功能依赖日志服务提供日志数据的实时查询与分析功能. ...
- 重要预警 | MindLost勒索软件安全建议,安骑士可检测防御
2019独角兽企业重金招聘Python工程师标准>>> 1月15日,安全研究组织MalwareHunter发现了MindLost勒索软件的第一批样本.事件披露后,阿里云安全团队第一时 ...
最新文章
- Doctype作用? 严格模式与混杂模式如何区分?它们有何意义
- freetype 安装
- textarea标签中的换行与空格问题
- RxJava 教程第一部分:为何使用RxJava
- ETHREAD 结构体属性介绍
- i.MX 系列CPU HAB漏洞SecureBoot漏洞
- 8.1 shell介绍 8.2 命令历史 8.3 命令补全和别名 8.4 通配符 8.5 输入输出重定向
- OpenJudge NOI 1.5 37:雇佣兵
- 解决: service endpoint with name xxx already exists
- 唯美“光效”PNG免扣素材大集合,一眼爱上!
- MJRefresh上拉刷新下拉加载
- 【动态规划笔记】状压dp:蓝桥 矩阵计数 (二进制枚举)
- c语言中关键字static_了解C ++中Static关键字的变体
- Response常用方法
- 基于Arduino的双向交通灯系统
- 微信小程序搜索排名规则,教你怎么让排名靠前
- 37手游基于云平台的大数据建设实践
- vue 使用fs_在vue里面使用iVew框架
- 你有没有遇到叫二狗子的那个哥们?
- 小米电视6和小米电视6至尊版区别