一、客户端安装Agent
1、安装ICAgent
第1步,先获取AK/SK,方法:https://support.huaweicloud.com/lts_faq/lts_03_0015.html
第2步,下载ICAgent安装包,并存放到目录(如:C:\ICAgent)并解压
第3步,替换 {input_your_ak} -sk {input_your_sk},打开cmd,运行脚本,直到出现 成功提示。
第4步,可以查看服务是否正常启动
第5步,华为云/主机管理 查看ICAgent是否成功运行
二、接入中心配置
1、接入配置
第1步,云主机ECS – 文本日志
第2步,日志组和日志流,可以默认,建议新建
第3步,选择主机
第4步,采集配置
C:\Windows\System32\winevt\Logs\Security.evtx #要采集的安全日志
应用程序日志:Application.evtx
系统日志:System.evtx
安全日志:Security.evtx
有各种类型的日志,默认以 .evtx 格式存储在以下目录
第5步,配置索引
2、检查/修改接入管理情况
如有问题,可以继续修改,然后可通过“所属日志流”查看日志
三、日志使用
1、通过“所属日志流 / lts-topic-windows” 查看日志
2、日志检索
比如可通过“ClientAddress” 检索到 远程桌面用户的登录IP
更多方法查看帮助文件
https://support.huaweicloud.com/usermanual-lts/lts_05_0005.html
3、创建告警规则
更多方法查看帮助文件
https://support.huaweicloud.com/usermanual-lts/lts_04_0062.html