入门指南

1. 确定您的输入源

在开始之前，请根据将向安全数据湖 .

输入是指安全数据湖接收日志消息的途径，可处理来自不同来源的数据，例如：

网络设备的Syslog日志
终端设备的Beats（如Filebeat或Winlogbeat）
云服务或自定义应用的HTTP输入

每种输入类型定义了消息在抵达安全数据湖 .

输入主要分为两大类：

监听式输入 ——这类输入会等待外部系统传入消息。它们会开放网络端口或端点，持续监听设备、代理或应用程序发送的数据。监听式输入通常用于通过TCP、UDP、HTTP或gRPC等协议（例如Syslog、GELF或OpenTelemetry）实时传输日志。

注意

监听式输入通常通过转发器运行，该转发器会安全地获取数据并传输至安全数据湖 .

请按照步骤2-5配置监听式输入。
拉取式输入 ——这类输入会主动连接远程服务或API，定期获取日志数据。通常用于从云平台、安全工具和SaaS应用（如AWS CloudTrail、Microsoft 365或CrowdStrike）收集数据。

注意

拉取式输入可直接在系统 > 输入下创建，无需配置转发器。

请按照步骤6配置拉取式输入。

完整输入列表请参阅输入类型 .

2. 创建并配置输入配置文件

确定所需输入后，即可创建输入配置文件。

输入配置文件是一组可跨多个转发器重复使用的输入配置集合。例如，可为包含Syslog和Filebeat输入的Linux服务器创建一个配置文件，再为带有Winlogbeat的Windows终端创建另一个配置文件。

每个输入配置文件后续都将分配给一个转发器。

3. 了解转发器

转发器是一种轻量级代理，可通过加密通道和API令牌进行身份验证，安全地将日志从本地环境传输至安全数据湖云平台，确保数据安全发送。

必须至少配置一个转发器才能向安全数据湖发送数据，但在以下情况下可配置多个转发器：

需要跨区域或服务器分配工作负载；
需处理高数据量；
需按环境（如生产与测试）组织数据源。

有关转发器的更多信息，请参阅转发器 .

4. 安装转发器

安装转发器前，必须获取用于身份验证和配置的API令牌及接收主机名（URL）。

在用于收集和发送日志的主机上安装转发器软件包。根据安装指南选择对应操作系统（Linux、Windows或SUSE）。

确保转发器能够通过所需网络端口与安全数据湖通信，并有权访问待转发的日志文件或收集器。

5. 配置转发器并分配输入配置文件

安装完成后，通过将转发器连接至您的安全数据湖环境。为转发器分配一个或多个输入配置文件，使其明确需要收集的数据类型及发送方式。

您可以通过系统 > 转发器 在安全数据湖界面中管理活跃转发器并监控其运行状态。

有关配置转发器的详细信息，请参阅配置转发器

6. 配置拉取式输入

若数据源为云原生或基于API，您可在系统 > 输入 .

拉取式输入会按计划间隔主动连接外部平台或API获取数据，常用于集成AWS CloudTrail、Microsoft 365或CrowdStrike等云服务或SaaS应用。

配置时，请从系统 > 输入页面创建新输入，选择所需输入类型并启动。完成设置后，可关联 Illuminate处理包 对输入数据进行标准化和丰富化处理，随后启动输入以开始收集日志。

注意

拉取式输入直接在SDL中运行，无需转发器。当SDL可通过互联网安全访问云或API数据源时使用此方式。

具体配置步骤请参考设置新输入 .

7. (可选) 启用Illuminate套件与数据增强功能

当数据开始流入安全数据湖后，您可以通过启用以下功能扩展其可见性和检测能力：

Illuminate内容包 ——预置内容包可自动检测并增强已知数据类型（如认证日志、防火墙事件或云遥测数据）的处理能力。
管道与规则 ——用于解析、增强和路由日志数据。
查找表与数据湖 ——实现数据增强、关联分析和长期存储。

这些功能可帮助您规范化数据、添加上下文情报，并为监控告警奠定基础。

8. 后续步骤

要进一步定制安全数据湖体验，请按以下步骤操作：

将设备配置为向本地转发器发送日志
检查转发器指标以确认日志是否已摄入SDL
设置仪表板和告警以可视化关键指标
探索数据路由功能以控制日志存储或归档位置
若使用Bitdefender MDR服务，请查看安全数据湖与MDR的集成选项

注意

需将数据流共享给Bitdefender MDR团队，使其能访问调查、威胁狩猎和告警关联所需的事件数据。共享这些数据流可确保MDR分析师利用您现有的数据管道和Illuminate增强功能，提供完整的可视化和响应覆盖。