日志收集器代理
KYRA MDR 日志收集器代理是一个轻量级本地代理,专为需要从私有网络环境安全收集和转发安全遥测数据的组织设计。
问题背景
企业和受监管客户(国防承包商、医疗机构、金融机构)在有防火墙或物理隔离的网络中运营,面临以下挑战:
- 原始日志无法直接转发到云端
- 无法从云端打开入站端口
- 原始安全遥测数据在传出之前必须经过过滤
日志收集器通过在客户网络内部作为安全代理运行来解决这个问题 — 收集、过滤、规范化后仅转发平台所需的数据。
主要功能
- 轻量级占用:单二进制部署,最小资源使用(约 30 MB 空闲内存)
- 安全传输:仅出站 HTTPS 连接,支持双向 TLS 认证
- 多数据源:从防火墙、EDR 代理、syslog 源、Windows 事件日志和基于文件的日志收集
- 智能过滤:PII 掩码、字段级脱敏和可配置的过滤规则
- 磁盘缓冲:本地缓冲确保网络中断期间不丢失数据
- 自动恢复:自动重连和重试,支持背压处理
- 零拷贝解析:高性能日志解析,最小内存分配
支持的数据源
| 源类型 | 输入方式 | 示例 |
|---|---|---|
| Syslog | TCP/UDP 监听 | 防火墙、路由器、Linux 系统 |
| Windows 事件 | Windows Event Log API | Security、System、Application 通道 |
| EDR | 通道订阅 | CrowdStrike、SentinelOne、Microsoft Defender |
| 基于文件 | 文件监控 | 应用日志、审计跟踪 |
| 网络流量 | TAP/SPAN 接口 | 参见 NDR 功能 |
部署
系统要求
| 要求 | 最低配置 | 推荐配置 |
|---|---|---|
| CPU | 2 核 | 4 核 |
| 内存 | 256 MB | 512 MB |
| 磁盘 | 1 GB(缓冲) | 10 GB(缓冲) |
| 操作系统 | Linux (x86_64, ARM64)、Windows Server 2016+ | 推荐 Linux |
| 网络 | 出站 HTTPS(端口 443) | 专用网络接口 |
安装
收集器以单二进制文件和交互式安装程序的形式分发:
- 下载适用于您平台的收集器二进制文件
- 运行安装向导 — 输入网关 URL 和许可证密钥
- 配置数据源(syslog、Windows 事件、EDR 通道、文件路径)
- 安装程序将配置 TLS 证书、配置服务并启动收集
配置
收集器使用 YAML 配置文件,包含以下部分:
- 网关:平台端点 URL 和认证凭据
- 输入:数据源定义(syslog 监听器、Windows 通道、文件路径)
- 过滤器:PII 掩码规则、字段脱敏、事件过滤
- 缓冲:本地磁盘缓冲大小和保留设置
- 传输:连接参数、重试策略、压缩设置
安全性
- 仅出站:不需要入站端口 — 收集器发起所有连接
- 双向 TLS:收集器和平台之间基于证书的认证
- PII 保护:数据离开网络前,可配置的敏感字段掩码和脱敏
- 完整性验证:原始日志的加密哈希,用于防篡改检测
- 自动更新:带有签名验证的安全更新机制
配额与背压
收集器感知配额,并根据租户的采集配额调整行为:
| 使用级别 | 收集器行为 |
|---|---|
| < 75% 配额 | 全速发送 |
| 75% - 90% | 降低发送速率 |
| 90% - 100% | 仅关键事件 |
| 超出配额(硬性上限) | 本地缓冲,停止发送 |
| 超出配额(允许超额) | 降低速率,适用超额计费 |
收集器在配额执行或网络中断期间本地缓冲事件,并在容量可用时自动恢复转发。
管理
平台为已部署的收集器提供远程管理功能:
- 健康监控:实时状态报告(健康、降级、离线)
- 远程配置:无需手动访问即可推送配置更新
- 诊断:从收集器请求诊断数据进行故障排除
- 集群概览:所有已部署收集器的仪表板视图,包含状态和指标