入门指南

1. 确定输入源

开始前，请根据向安全数据湖 .

输入是指安全数据湖接收日志消息。输入可以处理来自不同来源的数据，例如：

来自网络设备的Syslog
来自终端的Beats（如Filebeat或Winlogbeat）
来自云或自定义应用的HTTP输入

每种输入类型定义了消息在到达安全数据湖 .

输入主要分为两大类：

监听器输入 ——这类输入等待外部系统发送消息。它们会打开网络端口或端点，持续监听设备、代理或应用发送的数据。监听器输入通常用于通过TCP、UDP、HTTP或gRPC等协议实时传输日志（例如Syslog、GELF或OpenTelemetry）。

注意

监听器输入通常通过转发器运行，转发器会安全地获取数据并传输至安全数据湖 .

按照步骤2-5配置您的监听器输入。
拉取输入 ——这类输入会主动连接远程服务或API，定期获取日志数据。它们通常用于从云平台、安全工具和SaaS应用收集数据（例如AWS CloudTrail、Microsoft 365或CrowdStrike）。

注意

拉取输入可直接在系统 > 输入下创建，无需转发器。

按照步骤6配置您的拉取输入。

完整输入列表请参阅输入类型 .

2. 创建并配置输入配置文件

确定所需输入后，即可创建输入配置文件。

输入配置文件是一组可跨多个转发器重复使用的输入配置集合。例如，您可以创建一个包含Syslog和Filebeat输入的Linux服务器配置文件，再创建一个包含Winlogbeat的Windows终端配置文件。

每个输入配置文件后续都将分配给一个转发器。

3. 了解转发器

转发器是一种轻量级代理，可安全地将日志从本地环境传输至安全数据湖云平台。它采用加密通道和API令牌进行认证，确保数据安全传输。

必须至少配置一个转发器才能向安全数据湖发送数据，但在以下场景可配置多个转发器：

需要跨区域或服务器分配工作负载
需处理高数据量
需按环境（如生产环境与测试环境）组织数据源

有关转发器的更多信息，请参阅转发器 .

4. 安装转发器

安装转发器前，需获取用于认证和配置的API令牌及接收主机名（URL）。

在用于收集和发送日志的主机上安装转发器软件包。根据安装指南选择对应操作系统（Linux、Windows或SUSE）。

确保转发器能通过所需网络端口与安全数据湖通信，并具有待转发日志文件或收集器的访问权限。

5. 配置转发器并分配输入配置文件

安装完成后，通过将转发器连接至安全数据湖环境进行配置。为其分配一个或多个输入配置文件以明确数据收集和发送方式。

可通过系统 > 转发器 在安全数据湖界面中。

有关配置转发器的更多信息，请参阅配置转发器

6. 配置拉取输入

若数据源为云原生或基于API，您可在系统 > 输入 .

拉取输入会按计划间隔主动连接外部平台或API获取数据，通常用于集成AWS CloudTrail、Microsoft 365或CrowdStrike等云服务或SaaS应用。

配置时，请从系统 > 输入页面新建输入，选择所需类型并启动。设置完成后可关联 Illuminate处理包 对输入数据进行标准化和增强，随后启动输入即可开始采集日志。

注意

拉取输入直接在SDL中运行，无需转发器。当SDL可通过互联网安全访问云或API数据源时使用。

详细配置步骤请参考设置新输入 .

7. （可选）启用Illuminate套件与增强功能

当数据流入安全数据湖后，您可通过启用以下功能扩展其可见性与检测能力：

Illuminate套件 ——预置内容包，可自动检测并增强已知数据类型（如认证日志、防火墙事件或云遥测数据）。
管道与规则 ——用于解析、丰富和路由日志数据。
查找表与数据湖 ——实现数据增强、关联及长期存储。

这些功能可帮助您规范化数据、添加上下文情报，并为监控告警奠定基础。

8. 后续步骤

要进一步定制您的安全数据湖体验，请按以下步骤操作：

将设备配置为向本地转发器发送日志
检查转发器指标，确认日志是否已摄入SDL
设置仪表板和告警以可视化关键指标
探索数据路由功能以控制日志存储或归档位置
若使用Bitdefender MDR，请查看安全数据湖与MDR的集成选项

注意

需将您的数据流共享给Bitdefender MDR团队，使其能访问调查、威胁狩猎和告警关联所需的事件数据。共享这些数据流可确保MDR分析师利用您现有的数据管道和Illuminate增强功能，提供完整的可视性与响应覆盖。