8、态势感知平台对接

1.8.1 云安全资源池对接

系统通过日志外送接口将日志发送到态势感知平台，态势感知平台可以基于云安全资源池的安全日志进行统一分析。目前系统支持通过 Syslog 和 Kafka 两种不同的方式外发日志。

1.8.1.1 Kafka对接方式

步骤1. 在菜单栏选择“平台运营通知外送日志外送”选择KAFKA页签；

       步骤1. 点击<添加规则>，配置KAFAK日志外发服务器地址；

       步骤2. 添加需要日志外发的团队及产品，点击<添加>。

      步骤3. 点击<编辑>，可对外送规则中配置项进行修改。

       步骤4. 点击<删除>，可对外送规则进行删除，删除后将不再将日志外送到配置的地址服务器上。

8.1.2 Syslog对接方式

       步骤1. 在菜单栏选择“平台运营通知外送日志外送”选择Syslog页签；

       步骤2. 点击<新增规则>，配置Syslog外发服务器地址；

       步骤3. 添加需要日志外发的团队及产品，点击<添加>。

       步骤4. 点击<编辑>，可对外送规则中配置项进行修改。

       步骤5. 点击<删除>，可对外送规则进行删除，删除后将不再将日志外送到配置的地址服务器上。

8.2 日志审计对接

8.2.1 多源异构日志类数据采集

       通过云安全资源池内开通的日志审计设备对主流安全设备、网络设备、主机、数据库、API、中间件、应用系统和虚拟化系统等设备异构日志进行全面采集，实现资产日志数据统一管理。同时为满足日志数据共享需求，提供收集日志转发，当原始日志设备无法设置多个日志服务器时，可通过本系统进行日志转发将日志转发到其他日志存储设备。

8.2.2 数据清洗

       接收到的原始日志信息，经过解析规则的模式匹配，提取出直接信息和非直接信息，最终就得到了解析后的通用事件。日志信息解析模块启动的时候，需要首先进行规则库的加载，加载各种日志格式的解析、映射定义。加载完成后，才能进行日志的解析处理。当原始日志无法匹配规则库中任何一个规则时，就会生成一个未识别日志信息。用户收到未识别日志信息后，应该更新规则库，以支持这种日志格式。

       完成解析后的通用事件，可以根据规则库，进行标准化处理。标准化主要是对解析后的日志，根据标准化的通用事件格式，对各个标准化字段，进行信息的直接映射、非直接映射处理。映射处理基于预先定义的标准。在本系统，标准基于对安全领域的技术、威胁、模式、以及网络层、应用层的抽象。标准化过程，也会进行字段的格式处理，如时间戳的format、locale的处理。经过映射处理后，就得到了最终的通用事件。

8.3 数据传输

       将清洗后的日志数据通过API接口或KAFKA方式发送给态势感知平台，态势感知平台基于日志审计传输过来的数据对安全设备、网络设备、主机、数据库、API、中间件、应用系统和虚拟化系统等设备进行威胁分析。