功能概述

当创建的日志审计实例的云服务器,与被审计的云服务器在同一基础网络下,且两者能够直接通过默认安全组互相通信时,则可参考以下步骤,进行配置。

图

前提条件

  • 已完成日志审计实例部署并能点击控制台进入日志审计实例控制台。

  • 已获取日志审计VM和被日志审计 VM的IP地址。

  • 日志审计VM和被日志审计VM都绑定到默认安全组,且安全组需开启514 UDP端口,或者接受全部的TCP/UDP上下行端口。

    说明

    该操作需点击目标日志审计实例所属云服务器 ID 进入云服务器页面和对应的默认安全组页面进行操作,详细操作请参见云服务器用户文档绑定安全组绑定默认安全组。

操作步骤

  1. 通过 Web 浏览器登录企业云平台的 Console。

  2. 在顶部菜单栏中选择产品与服务 > 安全服务 > 安全资源池 > 日志审计,进入日志审计管理页面。

    log_audit_main

  3. 如上图所示,成功部署的日志审计实例状态为 已部署,所在行末尾操作列有控制台按钮。

  4. 点击目标日志审计实例所在行末尾的控制台,进入日志审计实例控制台首页。

    登录

  5. 选择资产管理 > 全部资产后,点击 + 新增

  6. 根据实际情况选择资产类型。此处以在安全类一栏点击安全管理系统为例。

    安全管理系统

  7. 填写资产名称,其他选项根据其他需要选择是否填写,点击保存

    保存

  8. 在资产信息识别信息页签填写主机 IP 地址,并点击保存

    这里以上图所示主机 ID 为例,填写为10.12.12.71

    保存

  9. 进入发送日志配置页签,参数保持默认,点击保存

    保存

  10. 若资产的状态信息未显示已启用,点击启用

    保存

配置VM中rsyslog日志

  1. 登录 10.12.12.71 主机。

  2. 在配置文件 /etc/rsyslog.conf 中并增加以下内容。其中 10.12.12.67 为审计主机 IP,需根据实际情况进行修改。

    *.* @10.12.12.67
    注意

    • *@ 之间空格为 Tab键 输入。

    • IP 是日志审计主机的 IP,例如本例中日志审计的 IP 为 10.12.12.67

    • . 表示发送所有级别的日志。
    保存

  3. ESC后输入wq保存修改。

  4. 执行 service rsyslog restart 命令重启 rsyslog 服务。

  5. 可在首页>数据概要或者审计概要获取审计日志。

    保存