背景
标准化日志输出接口是所有网络设备或业务系统必须具备的基本功能。通过标准化协议,用户将 iOA 日志转发至第三方日志管理或分析系统进行集中的日志管理和分析,实现安全事件的响应。
使用说明
步骤3:用户根据接口文档实现安全事件响应的需求。
iOA 控制台配置
syslog 服务器对接
在查询时,可输入服务器地址或名称进行模糊搜索,也可按协议类型(TCP / UDP)进行筛选。
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择第三方对接 > syslog 服务器。
2. 在 syslog 服务器页面,单击添加服务器。
3. 在新建 syslog 服务器弹窗中,配置相关参数。
参数名称 | 说明 |
服务器名称 | 自定义,最大32个字符,仅支持中文、英文、数字及下划线。 |
服务器地址 | 支持 IP 和域名的切换,最大300个字符,仅支持常规 IP 和域名。 |
协议类型 | TCP、UDP,根据实际情况选择。 |
协议端口 | 1~65535。 |
设备/Facility | 支持 local0~local7。 |
服务器描述 | 自定义,最大255个字符,仅支持中文、英文、数字及下划线。 |
专线分组 | 下拉选择专线。 |
说明:
IP 的校验正则:/^(?:(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\\.){3}(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)$/
域名的校验正则:/[a-zA-Z0-9][-a-zA-Z0-9]{0,62}(\\.[a-zA-Z0-9][-a-zA-Z0-9]{0,62})+\\.?/
4. 配置完成单击确定保存,添加 syslog 服务器后,在列表中展示添加时间、服务器名称、服务器地址类型、服务器地址、协议类型、设备/Facility、服务器描述等内容。
Kafka 服务器
在查询时可以根据 Kafka 地址、服务器名称和 Kafka 主题进行模糊查询。
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择第三方对接 > syslog 服务器。
2. 在 Kafka 服务器页,单击添加服务器。
3. 在新建 Kafka 服务器弹窗中,配置相关参数。
参数名称 | 说明 |
服务器名称 | 自定义,最大32个字符,仅支持中文、英文、数字及下划线。 |
Kafka 地址 | 自定义,最大255个字符。 |
Kafka 主题 | 任意,最大255个字符。 |
Kafka 版本 | 自定义,最大255个字符,仅支持中文、英文、数字及下划线。 |
Sasl 用户名 | 自定义,最大255个字符,仅支持中文、英文、数字及下划线。 |
Sasl 密码 | 自定义,最大255个字符,仅支持中文、英文、数字及下划线。 |
启用 TLS 加密 | 启用后,TLS 加密可对服务器与第三方日志系统的通信数据进行加密保护,防止传输过程中数据泄露或被篡改。 |
跳过证书校验 | 启用后,可能有安全风险。 |
服务器描述 | 自定义,最大255个字符,仅支持中文、英文、数字及下划线。 |
4. 配置完成单击确定保存,添加 Kafka 服务器后,在列表中展示添加时间、服务器名称、服务器地址类型、Kafka 地址、Kafka 主题、SASL 机制、SASL 用户名、服务器描述等内容
HTTP 服务器
在查询时可以根据 HTTP 地址或者服务器名称进行模糊查询。
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择第三方对接 > HTTP 服务器。
2. 在 HTTP 服务器页,单击添加服务器。
3. 在新建 HTTP 服务器弹窗中,配置相关参数。
参数名称 | 说明 |
服务器名称 | 自定义,最大32个字符,仅支持中文、英文、数字及下划线。 |
Http 地址 | 自定义,最大300个字符。 仅支持常规域名,域名校验正则:/[a-zA-Z0-9][-a-zA-Z0-9]{0,62}(\\.[a-zA-Z0-9][-a-zA-Z0-9]{0,62})+\\.?/ |
超时时间 | 0 ms ~ 65535 ms。 |
服务器描述 | 自定义,最大255个字符,仅支持中文、英文、数字及下划线。 |
专线分组 | 下拉选择专线。 |
4. 配置完成单击确定保存,添加 HTTP 服务器后,列表中展示添加时间、服务器名称、服务器地址类型、HTTP 地址、超时时间、服务器描述等内容。可以进行添加、编辑和删除操作。
转发策略
在查询时可以根据转发日志类型进行筛选查询。
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择第三方对接 > 转发策略。
2. 在转发策略页面,单击添加转发策略。
3. 在新建转发策略弹窗中,配置相关参数。
参数名称 | 说明 |
策略名称 | 自定义,最大32个字符,仅支持中文、英文、数字及下划线。 |
转发日志类型 | 勾选需转发的日志,支持 DLP 告警调查审计日志、数据地图日志以及 EDR 事件日志的转发。 |
转发方式 | 目前只支持 syslog、Kafka 和 HTTP 三种方式。 |
转发服务器 | 只能选择在服务器列表中配置的服务名。 |
转发策略描述 | 自定义,最大255个字符,仅支持中文、英文、数字及下划线。 |
4. 后台数据库对应日志号如下:(macOS 和移动端如果系统有以下日志的也支持转发)。
日志分类(大类) | 业务日志 | 日志详细(小类),支持 | 日志号 |
终端日志 | 终端安全 | 病毒查杀 | 7002 |
| | 系统修复 | 7002 |
| | 实时防护 | 7003 |
| | 漏洞修复 | 7009 |
| | 网络攻击(网络防御) | 7028 |
| | 非法外联 | 7033 |
| | 进程管控 | 7036 |
| | 服务管控 | 7044 |
| 终端管控-数据保护 | USB 存储设备插拔 | 7038 |
| | 设备禁用 | 7021 |
| | 文件操作审计 | 7501 |
| | 文件访问和操作 | 7102 |
| | 终端网络访问控制 | 7066 |
| 合规检测 | 第三方杀毒软件 | 7039 |
| | 补丁列表 | 7040 |
| | 软件安全基线 | 7041 |
| | 违规进程 | 7045 |
| | 违规服务 | 7046 |
| | 违规端口 | 7047 |
| | 笔记本加密 | 7057 |
| | 入域 | 7058 |
| | iOA 版本 | 7059 |
| | 操作系统 | 7060 |
| | 域账号/本地账号弱密码 | 7061 |
| | 违规注册表 | 7062 |
| | 合规性检测 | 7302 |
| 系统设置 | 安装 | 7006 |
| | 卸载 | 7007 |
| | 终端升级 | 7004 |
| | 开机关机 | 7015 |
| | 退出客户端 | 7014 |
网关日志 | 业务访问 | 零信任办公-终端访问日志 | 7053 |
| | NGN 网关上报 | 7055 |
5. 配置完成单击确定保存,添加转发策略后,在列表中展示添加时间、策略名称、转发方式、转发日志类型、转发配置服务器、策略描述等内容。
日志 API 接口详情
