日志服务支持将日志投递到SIEM,以确保阿里云上的所有法规、审计与其他相关日志能够导入到您的安全运维中心(SOC)中。
名词解释
- SIEM:安全信息与事件管理系统(Security Information and Event Management),如Splunk,IBM QRadar等。
- Splunk HEC:Splunk的HTTP事件接收器(Splunk HTTP Event Collector),一个 HTTP或HTTPS接口,用于接收日志。
部署建议
Python SDK
- 推荐使用标准CPython解释器。
- 日志服务的Python SDK可以使用python3 -m pip install aliyun-log-python-sdk -U命令进行安装。
- 更多日志服务Python SDK的使用,请参见User Guide。
协同消费库
协同消费库(Consumer Library)是日志服务中对日志进行消费的高级模式,提供了消费组的概念对消费端进行抽象和管理,和直接使用SDK进行数据读取的区别在于,用户无需关心日志服务的实现细节,只需要专注于业务逻辑,另外,消费者之间的负载均衡、failover
等用户也都无需关心。
在日志服务中,一个日志库(Logstore)下面会有多个分区(Shard),协同消费库将 shard 分配给一个消费组下面的消费者,分配方式遵循以下原则:
- 每个shard只会分配到一个消费者。
- 一个消费者可以同时拥有多个shard。
新的消费者加入一个消费组,这个消费组的 shard 从属关系会调整,以达到消费负载均衡的目的,但是上面的分配原则不会变,分配过程对用户透明。
协同消费库的另一个功能是保存 checkpoint,方便程序故障恢复时能接着从断点继续消费,从而保证数据不会被重复消费。
Spark Streaming、Storm 以及 Flink Connector 都以 Consumer Library 作为基础实现。
投递方式
推荐使用日志服务消费组构建程序实现实时消费,然后通过HTTPS或者Syslog来发送日志给SIEM。
- HTTPS投递方式请参考通过HTTPS投递日志到SIEM。
- Syslog投递方式请参考通过Syslog投递日志到SIEM。
内容没看懂? 不太想学习?想快速解决? 有偿解决: 联系专家
阿里云企业补贴进行中: 马上申请
腾讯云限时活动1折起,即将结束: 马上收藏
同尘科技为腾讯云授权服务中心。
购买腾讯云产品享受折上折,更有现金返利:同意关联,立享优惠
转转请注明出处:https://www.yunxiaoer.com/159791.html
