日志管理功能支持为云防火墙的防护资源采集攻击及访问日志数据,并基于火山引擎日志服务提供检索分析、监控告警、数据可视化等功能,帮助您快速了解请求业务的状态和防护效果,以便及时处理异常。
检索分析日志
- 登录火山引擎云防火墙控制台。
- 在左侧导航选择日志管理,进入日志管理页面。
- 在页面右上角选择高级模式。
- 高级模式:提供语法检索分析、监控告警、数据可视化等功能,适用于复杂场景下的数据挖掘分析。
- 基础模式:提供基础的搜索查询功能,适用于简单场景的日志检索分析。
- 在检索分析语句输入框内,输入对应语句。
说明
多个检索语句间用空格分隔时,表示“或”逻辑,即等同于OR。例如warning error等同于warning OR error,表示检索内容中包含关键词warning或error的日志。
- 单击检索分析。
下方会显示查询结果图表。 - (可选)设置查询图表时间范围和自动刷新。
- 时间范围:默认展示近 3 天内的查询结果,支持自定义相对时间和绝对时间。
- 自动刷新:自动刷新默认关闭,开启后可设置自动刷新频率。
创建定时 SQL 分析任务
日志服务支持通过控制台创建定时 SQL 任务,定时对日志主题进行检索分析,并将处理后的日志数据保存到目标日志主题中。
登录火山引擎云防火墙控制台。
在左侧导航选择日志管理,进入日志管理页面。
在页面右上角选择高级模式。
在原始日志右上角单击存为定时 SQL 分析。
配置定时 SQL 任务参数。
配置
说明
任务名称
定时 SQL 分析任务的任务名称。需符合以下规则:
- 长度为 3~63 个字符。
- 支持小写字母、数字、中文、连字符(-)。
- 必须以小写字母、数字、中文开头和结尾。
描述
定时 SQL 分析任务的简单描述。64 个字符以内。
源日志主题
待进行定时 SQL 分析的原始日志所在的日志主题。
目标日志主题
执行定时 SQL 分析任务后,处理后的日志数据存储的日志项目与日志主题。
说明- 如果没有合适的日志主题,可以根据页面提示创建一个。
- 如果日志主题没有配置索引,否则创建定时 SQL 分析任务会失败。
任务状态
是否立即启动定时 SQL 分析任务。 默认为开启状态,即完成任务配置后立即启动定时 SQL 分析任务。若未开启,完成配置后定时 SQL 分析任务为已暂停状态,需要手动启动任务。
单击下一步:SQL 分析规则配置。
配置 SQL 分析规则相关参数。
关于 SQL 分析相关原理和具体规则配置,可参见 SQL 定时分析原理和创建 SQL 定时分析任务。
查询与分析结果说明
原始日志
您可在原始日志页签下,查看查询的日志结果,并根据需要查看视图效果。默认按原始视图展示查询到的所有日志信息。
原始日志页面相关的操作说明。
图标号
功能
说明
1
切换日志视图
- 原始:日志内容的字段集中展示,该视图下可设置内容按字段换行、平铺 JSON 类字段和紧凑型布局。
- 表格:日志按表格样式,不同字段分列展示。
2
调整原始日志视图
原始视图支持调整显示效果。
- 换行:开启后,日志内容的字段将分行显示。
- 过滤预置字段:勾选后,不显示部分预置字段:
- 紧凑布局:开启后,日志时间和内容将合并显示,不再分列。
- 过滤控制字段:开启后,value 为空的字段不展示在原始日志页签中。
- 平铺 JSON 类字段:开启后,JSON 类型字段将以平铺样式展示,即其每个子字段都展开显示。
3
搜索字段
输入字段名称,可以检索对应字段。
4
设置显示字段
在隐藏字段列表中选择目标字段,单击4所示图标,可将该字段添加至显示字段列表中,右侧日志内容视图将展示选中的字段内容。
5
调整字段显示顺序
鼠标按住5所示图标上下拖动字段,可调整字段显示顺序。
查看字段分布占比
单击5所示图标,可查看该字段查询结果最多的前五个值,单击在图表中查看字段分布可前往图表分析页面查看该字段查询值的数据信息。
字段名称左侧的标签为字段数据类型说明。
d:double类型,指浮点型数据类型的字段。l:long类型,指整数类型的字段。j:json类型,适用于格式为 JSON 对象的字段。t:text类型,适用于字符串类型的字段。
关于日志字段数据类型的详细说明,请参见索引数据类型。
图表分析
您可在图表分析页签下,按选择合适的图表查看分析结果。支持按表格、折线图、柱状图、饼图和单值图样式展示。更多关于图表说明和配置的信息,请参见统计图表说明。