参数名称 | 说明 |
日志类型 | 日志类型包括云防火墙的访问控制日志、操作日志、流量日志、入侵防御日志、零信任防护日志,Web 应用防火墙的攻击日志、访问日志,主机安全的客户端上报日志、云安全中心的内容风险日志、风险服务暴露日志、弱口令风险日志、配置风险日志、漏洞风险日志,SaaS 化堡垒机的资产登录日志、产品登录日志,或其他的自定义日志。 |
用户 ID | 选择代表用户 ID 的字段。 |
用户名称 | 选择代表用户名称的字段,可不选。 |
操作对象 | 请在当前的日志字段中,选择最多3个字段用于体现用户行为操作的对象,建议选择服务、产品、资源、实例、接口等信息,允许为空。 |
操作方式 | 请在当前的日志字段中,选择最多3个字段用于体现用户行为操作的方式,建议选择密钥、AKSK 等信息,允许为空。
配置完成之后,自定义用户部分的用户数据会根据配置信息进行刷新。 |
日志来源 | 参数名称 | 说明 |
云审计 | 存储时长 | 默认为180天,可选择7天、30天、60天、90天或180天。 |
| 接入方式 | 默认为通过跟踪集接入。 |
| 跟踪集 | 仅展示可用且存储到 COS 的跟踪集,如已关闭,请先前往 COS 产品开启。 |
自定义日志来源 | 日志来源名称 | 需自定义日志来源名称。 |
| 存储时长 | 可选择7天、30天、60天、90天或180天。 |
| 接入方式 | 默认为通过自有 COS 桶接入。 |
| COS 存储桶 | 将所需接入的日志写入所选的 COS 存储桶,并配置权限,允许云安全中心服务角色进行读取。云安全中心将自动定时读取日志文件。还可以通过 提交工单 来定制读取方式,或前往 COS 产品页面创建一个新的存储桶。 |
| 存储目录 | 为提升读取性能,建议在选定的目录下,进一步按照 yyyy/mm/dd 的格式组织日志文件路径,我们会根据日历自动读取对应自然日的文件; 日志格式支持 J格式,用‘/n’分割行,支持 gzip 压缩。 |
| 日志样例 | 建议您输入日志样例供系统参考。系统会根据输入的样例进行字段解析,您可以进一步查看并选择指定字段及排序操作,这将提升日志的读取性能及解析的正确性。 |
| 时间戳 | 选择日志样例及其对应的时间戳格式。 |
参数名称 | 说明 |
策略 ID | 系统默认生成。 |
策略名称 | 系统策略由产品后台定义;用户自定义策略由用户定义。 |
策略类型 | 包括系统策略和自定义策略。 |
告警等级 | 包括严重、高危、中危、低危和提示。 |
策略内容 | 解释策略的检测内容。 |
开关 | 用户可自定义开启或关闭此条策略。 |
命中次数 | 统计近7天的策略命中纪录。单击可跳转告警中心查看告警详情,告警来源为用户行为分析(UEBA)。 |
操作 | 系统策略不允许编辑和删除。用户自定义策略可编辑或删除策略。 |
参数名称 | 说明 |
策略名称 | 用户自定义策略名称,不超过20个字符。 |
用户类型 | 云账号或自定义用户。 选择云账号时,可选择的日志类型包括云审计读操作日志和云审计写操作日志。 选择自定义用户时,可选择的日志类型即自定义用户中配置的日志类型。 |
发生时间 | 选项包括每10分钟、每小时、每天、每周、每月。 |
发生事件 | 可按语句检索或过滤检索进行配置。 |
告警名称 | 可选用户异常行为。 |
告警等级 | 包括严重、高危、中危、低危和提示。 |
操作者 | 请在当前的日志字段中,选择最多3个字段用于体现操作者的信息,建议选择 IP、账号、用户相关字段,不允许为空。 |
操作对象 | 请在当前的日志字段中,选择最多3个字段用于体现用户行为操作的对象,建议选择服务、产品、资源、实例、接口等信息,允许为空。 |
操作方式 | 请在当前的日志字段中,选择最多3个字段用于体现用户行为操作的方式,建议选择密钥、AKSK 等信息,允许为空。 |
本页内容是否解决了您的问题?