该场景下日志审计主机(VM)创建时加入到基础网络,日志审计实例部署后需绑定到 VPC,实现日志审计主机和 VPC 内的主机通信且对 VPC 内的主机进行日志审计。

图

前提条件

  • 已完成日志审计实例部署并能点击控制台进入日志审计实例控制台。

  • 已获取基础网络IP地址、VPC 网络地址和 VPC 网络中被日志审计的主机 IP地址。

操作步骤

  1. 进入安全资源池页面。

  2. 在左侧导航栏选择日志审计。进入日志审计页面。

  3. 在目标日志审计实例操作一栏点击加入网络,选择待日志审计主机所在的 VPC 和私有网络,点击提交

  4. VPC 网络添加成功后,可在实例网络一栏查看 VPC 网络地址。

    提交
    查看

  5. 在操作一栏点击关闭云服务器,点击关闭

    关闭

  6. 在操作一栏点击开启云服务器,点击开启

  7. 在目标日志审计实例操作一栏点击控制台,进入日志审计实例控制台首页。

  8. 选择资产管理 > 全部资产,点击新增

    新增

  9. 根据实际情况选择资产类型。此处以在安全类一栏点击安全管理系统为例。

    安全管理系统

  10. 填写资产名称,其他选项根据其他需要选择是否填写,点击保存

    保存

  11. 在资产信息识别信息页签填写 VPC 网络中主机 IP 地址,并点击保存

    这里以上图所示主机 ID 为例,填写为172.12.0.4

    保存

  12. 进入发送日志配置页签,参数保持默认,点击保存

    保存

  13. 若资产的状态信息未显示已启用,点击启用

    启用

配置VM中rsyslog日志

  1. 登录 172.17.0.4 主机。

  2. 在配置文件 /etc/rsyslog.conf 中并增加以下内容。其中 172.17.0.3 为审计主机 IP,需根据实际情况进行修改。

    *.* @172.17.0.3
    注意

    • *@ 之间空格为 Tab键 输入。

    • . 表示发送所有级别的日志。
    启用

  3. ESC后输入wq保存修改。

  4. 执行 service rsyslog restart 命令重启 rsyslog 服务。

  5. 可在首页 > 数据概要或者审计概要获取审计日志。

    获取日志审计