日志轉發
更新時間 2025-10-13 17:43:39
最近更新時間: 2025-10-13 17:43:39
分享文章
本章節為您介紹如何將日志轉發到外部服務器,以及日志字段說明。
日志轉發是指將日志數據從日志審計服務實時或準實時地傳輸到外部服務器的過程,支持轉發業務日志、操作日志、告警日志。
新增日志轉發任務
登錄日志審計實例控制臺。
在左側導航欄選擇“系統配置 > 日志轉發”,進入“日志轉發”頁面。
根據業務需求,選擇需要轉發的日志或告警,單擊“新增”按鈕。
在彈出的窗口中填寫相關參數。
參數 說明 名稱 自定義名稱,不超過50個字符長度。 數據過濾規則 通過配置過濾參數,篩選要轉發的日志:
業務日志轉發:支持通過事件名稱、設備IP、設備類型、事件等級、事件分組字段進行篩選。
- 操作日志轉發:不涉及。
- 告警日志轉發:支持通過源/目的IP、源/目的端口、告警名稱、告警大/小類、告警等級、開始/結束時間進行篩選。
描述 自定義內容,不超過512個字符長度。 日志發送類型 可選udp和kafka方式,配置后該參數不可修改。
udp轉發方式:支持添加多個目標。
目標地址:請輸入合法的IP地址,暫不支持IPv6地址。
目標端口:請輸入1~65535之間的端口。
Kafka轉發方式:
IP:請輸入合法的IP地址,暫不支持IPv6地址。
端口:請輸入1~65535之間的端口。
發送Topic:Kafka的Topic。
協議:支持PLANINTEXT和SSL/TLS協議。
若選擇SSL/TLS協議,還需要配置如下參數:
Keystore文件:僅支持上傳.jks類型文件。
Keystore.Password:請輸入正確的Keystore認證密碼。
Key.Password:請輸入正確的Key認證密碼。
Truststore文件:僅支持上傳.jks類型文件。
Truststore.Password:請輸入正確的Truststore認證密碼。
填寫完成后單擊“提交”即可。
日志格式說明
業務日志
外發采集到的日志原文,請前往日志源服務查看日志說明。
告警日志
日志示例:
{ "from_ana_single": { "alarm_name": "新增賬號告警", "alert_source": "9", "alarm_level": "1", "merge_way": "1,4", "alert_type": "180", "alert_type_sub": "1802", "attack_stage": "4", "protocol": "", "alert_count": "1", "rule_id": "9", "reliability": "80", "success_tag": "1", "src_ip": "", "src_port": "0", "dst_ip": "192.168.101.3", "dst_port": "0", "signature": "", "cve_id": "", "file_name": "", "file_path": "", "file_md5": "", "url": "", "cookie": "", "user_name": "test", "process_name": "", "mail_from": "", "mail_to": "", "src_zone": "", "dst_zone": "", "status_tag": "0", "rectification": "", "index_name": "", "occur_time": "2025-08-05 11:12:35", "update_time": "2025-08-05 11:12:35", "description": "新增賬號告警", "event_type_count": "1", "event_count": "1", "vul_id": "", "componentId": "1", "user_group": "", "domain": "", "class_dga": "", "attack_result": "", "is_white": "", "attack_type": "", "payload": "", "attack_main_type": "" } }日志字段說明:
| 日志字段 | 說明 |
|---|---|
| alarm_name | 告警名稱 |
| alarm_level | 告警等級
|
| alert_source | 告警來源 |
| merge_way | 歸并方式 |
| alert_type | 告警類型 |
| alert_type_sub | 告警小類 |
| attack_stage | 攻擊鏈階段 |
| protocol | 協議 |
| alert_count | 告警次數 |
| rule_id | 告警規則ID |
| reliability | 可信度。取值范圍0-100,數字越大,代表可信度越高。 |
| success_tag | 攻擊是否成功
|
| src_ip | 源IP |
| src_port | 源端口 |
| dst_ip | 目的IP |
| dst_port | 目的端口 |
| signature | 特征碼 |
| cve_id | CVEID |
| file_name | 文件名 |
| file_path | 文件路徑 |
| file_md5 | 文件MD5 |
| url | URL |
| cookie | Cookie |
| user_name | 登錄用戶名 |
| process_name | 進程名稱 |
| mail_from | 發件人地址 |
| mail_to | 收件人地址 |
| src_zone | 源域 |
| dst_zone | 目的域 |
| status_tag | 告警的狀態
|
| rectification | 整改建議 |
| index_name | 索引名稱 |
| occur_time | 發生時間 |
| update_time | 更新時間 |
| description | 規則描述 |
| event_type_count | 事件類型數量 |
| event_count | 事件次數 |
| vul_id | 漏洞ID |
| componentId | 組件ID |
| user_group | 用戶組 |
| domain | 域名 |
| class_dga | dga域名 |
| attack_result | 攻擊結果 |
| is_white | 是否白名單 |
| attack_type | 攻擊類型 |
| payload | payload |
| attack_main_type | 攻擊主類型 |
操作日志
日志示例:
{"LOG_ID":"389","MODULE_NAME":"首頁模塊管理","OPERATION_CONTENT":"查詢首頁模塊","OPERATION_TYPE":"sys","SUCCESS_TAG":"1","IP_ADDRESS":"10.144.243.22, 100.126.9.148","VALID_TAG":"","USER_ID":"1","CREATE_TIME":"2025-08-14 16:33:20","REQUEST_PARAM":"請求路徑=/homePage/realTimeAlarm; beanName=com.soc.cloud.homepage.controller.HomePageController; IP地址=10.144.243.22, 100.126.9.148; 方法名=getRealTimeAlarm","REVIEWER":""}日志字段說明:
| 日志字段 | 說明 |
|---|---|
| LOG_ID | 日志ID |
| MODULE_NAME | 操作模塊名稱 |
| OPERATION_CONTENT | 操作內容 |
| OPERATION_TYPE | 操作類型 |
| SUCCESS_TAG | 是否成功
|
| IP_ADDRESS | 來源IP地址 |
| USER_ID | 操作用戶 |
| CREATE_TIME | 操作時間 |
