00:00
在如今的工作场景中,当我们使用云上的console来查询审计日志时,会发现它的功能实在有限,仅仅能满足一些最基础的查看需求,对于复杂一点的筛选条件、关联查询等操作,他就显得力不从心了。在实际的分析工作中,为了更好的从审计日志中挖掘出有价值的信息,我们急需一个更强大的日志分析工具,比如说在面对海量的日志数据时,能够快速精准定位关键事件,或者轻松的被不同时段、不同用户的操作日志进行分类统计分析,这些功能对于深入了解系统运行状况,排查潜在问题至关重要。然而问题就来了,一想到要更换工具,就得先把云上的审计日志迁移出来,这可让大家犯了难。迁移。
01:00
1过程听起来就很麻烦,光是数据的传输、存储位置的变更就涉及到诸多技术细节和安全考量,而且迁移完数据还不算完,那些原始数据的格式往往和新工具不兼容,需要进行数据重构。可到底该怎么做呢?是要重新编写代码来转换数据格式,还是有其他更简便的方法?这些未知的难题让许多人在尝试更换工具的边缘犹豫不决,只能继续将就着使用不太顺手的云上conso。在今天的视频中,我们将通过一个快速的展示向大家介绍如何使用last step快速解决数据迁移和数据格式的基本问题。首先是数据迁移的问题,大多数的云日志都是存储在对象存储中。
02:00
无论是何种对象存储,Elastic都提供了相应的集成来帮助我们快速的将数据导入到elastic stack中。在这个例子中,我们的审计日志是存储在腾讯云的cos对象存储当中,Cos是一种兼容S3协议的对象存储,我们可以使用elastic的AWS custom log继承来快速地将costs中的日志数据导入到elastic sta中。而无论是azure的lob storage Google cloud的GCS,还是阿里云的oss,还是其他的对象存储,Elastic都提供了相应的集成来帮助我们快速的将数据导入到elastic sta中。第一步,我们需要拿到审计日志对应的cost budgetet的名称,以及访问密钥和访问密钥ID,这些信息可以在腾讯云的控制台中找到。然后我们需要在elastic。
03:00
Sta中配置AWS custom block集成,将这些信息填入到配置文件中。整个过程很简单,我们只需要在UI中填入对应的信息。这里需要注意的是,因为腾讯云的审计日志是森格式的,我们还需要配置对应的处理器进行数据格式的初步处理。所有的信息配置完成后,点击保存就可以完成配置。Fleet会为我们生成对应的命令,帮我们完成采集器的部署和配置的下发。整个过程简单高效,我们甚至不需要关心通信和访问安全的问题,Elastic stack会自动帮我们处理这些问题。
04:00
很快,数据就能通过采集器被导入到elastic stack中,我们可以在kanna中看到数据的实时流动。这样我们就完成了数据的迁移,并且通过简单的处理就能够获得跟审计日志界面相关的效果。Elastic sta还提供了强大的数据处理能力,我们随时可以更新配置文件来对数据进行解析。在这个例子中,我们可以通过更新配置文件来解析审计日志中的指字段,将尺证字段解析成多个字段,这样我们就可以在K8那中方便的对数据进行查询和分析,这个过程也很简单,我们只需要在配置文件中填入对应的自段名与处理器保存之后配置会被自动下发和更新。这样。
05:21
我们就完成了数据格式的转换,通过这两步我们就可以快速的将审计日志导入到elastic stack中,并且通过简单的配置就能够获得跟审计日志界面相似甚至更强的效率。但我们还可以做的更多,在下一个视频我们将为大家介绍如何通过AI来增强日志信息的处理,以及如何通过ESQL进行高级分析,敬请期待。
我来说两句