该场景下日志审计主机(VM)创建时加入到基础网络,日志审计实例部署后需绑定到 VPC,实现日志审计主机和 VPC 内的主机通信且对 VPC 内的主机进行日志审计。

图

前提条件

  • 已完成日志审计实例部署并能点击控制台进入日志审计实例控制台。

  • 已获取基础网络IP地址、VPC 网络地址和 VPC 网络中被日志审计的主机 IP地址。

操作步骤

  1. 进入安全资源池页面。

  2. 在左侧导航栏选择日志审计

    进入日志审计页面。

  3. 在目标日志审计实例操作一栏点击加入网络,选择待日志审计主机所在的 VPC 和私有网络,点击提交

    VPC 网络添加成功后,可在实例网络一栏查看 VPC 网络地址。

    提交
    查看

  4. 在操作一栏点击关闭云服务器,点击关闭

    关闭

  5. 在操作一栏点击开启云服务器,点击开启

  6. 在目标日志审计实例操作一栏点击控制台,进入日志审计实例控制台首页。

  7. 选择资产管理 > 全部资产,点击新增

    新增

  8. 根据实际情况选择资产类型。

    此处以在安全类一栏点击安全管理系统为例。

    安全管理系统

  9. 填写资产名称,其他选项根据其他需要选择是否填写,点击保存

    保存

  10. 在资产信息识别信息页签填写 VPC 网络中主机 IP 地址,并点击保存

    这里以上图所示主机 ID 为例,填写为172.12.0.4

    保存

  11. 进入发送日志配置页签,参数保持默认,点击保存

    保存

  12. 若资产的状态信息未显示已启用,点击启用

    启用

配置VM中rsyslog日志

  1. 登录172.17.0.4主机的进入vi /etc/rsyslog.conf文件并在该文件增加以下内容:. @日志审计主机IP

    例如:

    *.* @172.17.0.3
    注意

    • *与@之间空格为 tab键输入。

    • IP是日志审计主机的IP,例如本例中日志审计的IP为:172.17.0.3

    • *.*表示发送所有级别的日志。
    启用

  2. ESC后输入wq保存修改。

  3. 执行 service rsyslog restart 命令重启 rsyslog 服务。

  4. 可在首页 > 数据概要或者审计概要获取审计日志。

    获取日志审计