日志
Defender 会生成系统中每个潜在相关事件的日志跟踪。这包括手动操作,例如修改 Action 或 Monitor,以及自动活动,例如发送交易或触发通知。日志可以选择性地转发到 Datadog 和 Splunk 进行聚合或导出。
用例
-
通过监控团队中的登录和应用程序中的活动来跟踪用户操作
-
检测因登录尝试失败而对您的基础设施的潜在攻击
-
跟踪中继器的活动以了解从您的帐户发送的交易
-
保留所有模块配置更改的审计跟踪
-
按严重性、类型、用户、模块、时间等进行过滤
日志条目
每个日志条目都以以下格式构建:
-
Module:日志条目的来源,例如 Monitor、Actions、Workflows、Deploy 等。 -
Date and Time:生成日志条目的日期和时间,格式为Day Month Year,并且采用浏览器本地时区的 12 小时制时钟格式 -
Severity:日志条目的严重性级别,范围从trace到error -
Subject:生成日志的触发器/原因。如果与合约相关,则显示合约名称 -
Event:记录的活动类型。例如,Created、Added、Deledated、Updated等。 -
Description:有关事件的详细信息。例如,Contract was updated、Address book entry was updated等。 -
User:直接或间接生成日志条目的团队用户
您可以单击每个日志条目以获取详细视图,其中包括租户 ID、用户 ID、活动响应、请求、日志 ID、时间戳等。
设置日志转发目标
要设置日志转发目标,请打开 Logs 页面,然后单击“Send Logs to an External Service”按钮。
表单字段:
-
URL 字段是必填字段。所有日志都使用 HTTP POST 转发到此 URL 地址。
-
API Header Name 是可选的。这是包含 API Key 值的请求标头的名称。大多数日志管理服务都需要它。请参阅您的日志管理服务文档以确定您是否需要它。
-
API Key 是一个可选字段。API Key 随每个请求一起发送以进行身份验证。大多数日志管理服务都需要它。请参阅您的日志管理服务文档以确定您是否需要它。
-
Log Types 允许您根据 Defender 组件指定要转发的 Defender 生成的日志的子集。
-
Log Levels 允许您根据日志级别指定要转发的 Defender 生成的日志的子集。例如,调试日志可用于 Autotasks 调试目的,并且它们可能包含不应导出到外部系统的数据。
| 在下一节中,我们将介绍如何使用 Splunk 和 Datadog 设置日志转发,但值得注意的是,日志转发适用于任何其他支持 API Key 身份验证的服务。 |
Splunk
通过使用 Splunk HEC(HTTP Event Collector) 完成将日志转发到 Splunk。 有关使用 Splunk HEC 设置日志记录的文档,请参见 此处。
| 由于 Splunk 内部原因,日志转发不适用于 Splunk 试用帐户。 |
示例:
-
URL:
https://username.splunkcloud.com/services/collector/raw -
API Header Name:
Authorization -
API Key:
Splunk xxxxxxxxxxxxxxxxxxxxxxxxxxx
URL 值是动态的,因为 URL 包含帐户用户名。
|
API Key 应包含 Splunk 前缀。
|
Datadog
有关在 Datadog 上设置日志记录的文档,请参见 此处。
示例:
-
URL:
https://http-intake.logs.datadoghq.com/api/v2/logs -
API Header Name:
DD-API-KEY -
API Key:
xxxxxxxxxxxxxxxxxxxxxxxxxxx
Datadog 在世界各地使用不同的站点。例如,如果您依赖于 EU 服务器,则 URL 字段值应为 https://http-intake.logs.datadoghq.eu/api/v2/logs
|
可以从 Datadog 站点获取 API Key 值,方法是从左侧菜单打开 Logs 部分。
转到 Cloud 部分并选择 AWS 提供程序。
完成这些步骤后,API Key 值将显示在页面底部。
|