配置VPC中主机日志审计
更新时间:2023-11-06 09:26:48
该场景下日志审计主机(VM)创建时加入到基础网络,日志审计实例部署后需绑定到 VPC,实现日志审计主机和 VPC 内的主机通信且对 VPC 内的主机进行日志审计。
前提条件
-
已完成日志审计实例部署并能点击控制台进入日志审计实例控制台。
-
已获取基础网络IP地址、VPC 网络地址和 VPC 网络中被日志审计的主机 IP地址。
操作步骤
-
进入安全资源池页面。
-
在左侧导航栏选择日志审计。
进入日志审计页面。
-
在目标日志审计实例操作一栏点击加入网络,选择待日志审计主机所在的 VPC 和私有网络,点击提交。
VPC 网络添加成功后,可在实例网络一栏查看 VPC 网络地址。
-
在操作一栏点击关闭云服务器,点击关闭。
-
在操作一栏点击开启云服务器,点击开启。
-
在目标日志审计实例操作一栏点击控制台,进入日志审计实例控制台首页。
-
选择资产管理 > 全部资产,点击新增。
-
根据实际情况选择资产类型。
此处以在安全类一栏点击安全管理系统为例。
-
填写资产名称,其他选项根据其他需要选择是否填写,点击保存。
-
在资产信息识别信息页签填写 VPC 网络中主机 IP 地址,并点击保存。
这里以上图所示主机 ID 为例,填写为172.12.0.4
-
进入发送日志配置页签,参数保持默认,点击保存。
-
若资产的状态信息未显示已启用,点击启用。
配置VM中rsyslog日志
-
登录172.17.0.4主机的进入
vi /etc/rsyslog.conf
文件并在该文件增加以下内容:. @日志审计主机IP
例如:
*.* @172.17.0.3
注意 -
*与@之间空格为 tab键输入。
-
IP是日志审计主机的IP,例如本例中日志审计的IP为:172.17.0.3
-
*.*表示发送所有级别的日志。
-
-
按ESC后输入wq保存修改。
-
执行
service rsyslog restart
命令重启rsyslog
服务。 -
可在首页 > 数据概要或者审计概要获取审计日志。