多云平台日志管理依托火山引擎日志管理服务,为您提供日志检索与分析功能。您可以根据平台预置的索引字段进行日志检索分析,根据条件查找对应日志。
页面说明
日志服务模块主要分为日志容量显示区域、检索分析操作区域、日志数量统计区域和日志详情展示区域四个部分。
- 日志容量显示区域(图中区域①):查看当前日志总容量和已使用日志量,以便及时采取必要的措施,如清理过期的日志文件、增加存储空间等,以确保系统的正常运行和数据的完整性。
- 检索分析区域(图中区域②):输入日志检索或分析语句,查询指定条件下的日志数据。支持按主题检索或跨主题检索。
- 日志数量统计区域(图中区域③):以柱状图显示按条件查询的日志数量,支持按时间筛选。
- 日志详情展示区域(图中区域④):展示原始日志信息,支持按字段筛选显示;如已输入分析语句,可在“图表分析”页签下查看分析数据。
日志检索
日志服务管理模块支持对采集到服务端的日志数据,进行实时检索。支持秒级海量日志数据。您可以通过检索语句匹配日志中的字段,快速筛选和检索目标信息。多云安全平台日志检索支持按主题查询和跨主题查询两种方式,并为您提供默认查询字段。关于日志检索的详细介绍,请参考检索概述和检索语法。
按主题查询
在日志管理模块选择对应的日志主题并输入检索条件,指定查询时间后即可筛选和检索日志数据。默认可选日志主题如下表所示:
分类(category_uid) | ID | 事件类型分类(class_uid) | ID | 默认检索语句 | 说明 |
|---|---|---|---|---|---|
系统活动 | 1 | 全部 | - |
| 查询分类 ID 为 1 的活动日志,即所有系统活动日志。 |
系统文件活动 | 1001 |
| 查询分类 ID 为 1 且事件类型 ID 为 1001 的日志,即系统文件或文件夹相关的行为活动日志。 | ||
计划任务活动 | 1006 |
| 查询分类 ID 为 1 且事件类型 ID 为 1006 的日志,即计划工作或任务相关的活动日志。 | ||
进程活动 | 1007 |
| 查询分类 ID 为 1 且事件类型 ID 为 1007 的日志,即进程启动、注入、打开或终止另一个进程的活动日志。 | ||
检测结果 | 2 | 全部 | - |
| 查询分类 ID 为 2 的活动日志,即所有安全产品的发现或检测结果,恶意软件或异常行为的解决方案,或其他行为日志。 |
安全告警 | 2001 |
| 查询分类 ID 为 2 且事件类型 ID 为 2001 的日志,即安全产品的发现或检测结果,异常行为告警和/或其他行为日志。 | ||
网络活动 | 4 | 全部 | - |
| 查询分类 ID 为 4 的活动日志,即所有网络活动事件日志。 |
网络活动 | 4001 |
| 查询分类 ID 为 4 且事件类型 ID 为 4001 的日志,即网络连接和流量活动日志。 | ||
HTTP 活动 | 4002 |
| 查询分类 ID 为 4 且事件类型 ID 为 4002 的日志,即 HTTP 连接和流量信息日志。 | ||
DNS 活动 | 4003 |
| 查询分类 ID 为 4 且事件类型 ID 为 4003 的日志,即 DNS 查询和响应日志活动日志。 | ||
RDP 活动 | 4005 |
| 查询分类 ID 为 4 且事件类型 ID 为 4005 的日志,即远程客户端与服务器连接活动日志。 | ||
SMB 活动 | 4006 |
| 查询分类 ID 为 4 且事件类型 ID 为 4006 的日志,即客户端/服务端在网络内共享资源的连接活动日志。 | ||
SSH 活动 | 4007 |
| 查询分类 ID 为 4 且事件类型 ID 为 4007 的日志,即远程客户端使用 SSH 协议连接服务器的活动日志。 | ||
FTP 活动 | 4008 |
| 查询分类 ID 为 4 且事件类型 ID 为 4008 的日志,即客户端和服务器之间的文件传输活动日志。 | ||
网络文件活动 | 4010 |
| 查询分类 ID 为 4 且事件类型 ID 为 4010 的日志,即云文件存储服务活动日志。 | ||
应用活动 | 6 | 全部 | - |
| 查询分类 ID 为 6 的活动日志,即全部应用和服务行为的详细信息。 |
API 活动 | 6003 |
| 查询分类 ID 为 6 且事件类型 ID 为 6003 的日志,即 API 相关的创建、读取、更新、和删除活动日志。 |
跨主题查询
支持按特征查询威胁分析日志。多云安全平台为您提供常用日志查询字段,单击已有的字段直接查询对应日志信息。常用日志字段信息如下。
功能 | 字段 | 类型 | 说明 |
|---|---|---|---|
IP | src_endpoint.ip | text | 源网络终端 IP |
dst_endpoint.ip | text | 目标网络终端 IP | |
finding.supporting_data.src_endpoint.ip | text | HTTP 请求源端 IP | |
finding.supporting_data.dst_endpoint.ip | text | 目标网络终端 IP | |
端口 | src_endpoint.port | long | 源网络终端端口 |
dst_endpoint.port | long | 目标网络终端端口 | |
finding.supporting_data.src_endpoint.port | long | HTTP 请求源端口 | |
finding.supporting_data.dst_endpoint.port | long | 目标网络终端端口 | |
http_request.url.port | text | 端口 | |
资产名称 | actor.user.name | text | 用户名 |
api.service.name | text | API 服务名称 | |
finding.supporting_data.dst_endpoint.hostname | text | 目标网络终端域名 | |
finding.supporting_data.resource.name | text | 资源名称 | |
finding.supporting_data.src_endpoint.vpc_name | text | 源网络终端 VPC 名称 | |
finding.supporting_data.dst_endpoint.vpc_name | text | 目标网络终端 VPC 名称 | |
dst_endpoint.hostname | text | 目标网络终端主机名 | |
http_request.url.hostname | text | 请求接口域名 | |
通用 | category_uid | long | 分类 ID |
category_name | text | 分类名称 | |
class_uid | long | 事件类型 ID | |
class_name | text | 事件类型名称 | |
activity_id | long | 事件活动 ID | |
activity_name | text | 事件活动名称 | |
type_uid | long | 事件类型 ID | |
severity_idseverity_id | long | 事件严重性 ID | |
time | long | 事件发生的毫秒级时间戳 | |
start_time | long | 事件发生事件 | |
end_time | long | 事件结束时间 | |
duration | long | 事件持续时间 | |
metadata.version | long | OCSF 协议的版本 | |
metadata.product.vendor_name | text | 产品所属云厂商名称 | |
state | long | 事件的状态名称 | |
安全检测 | finding.uid | text | 安全发现上报 UID |
finding.title | text | 安全发现上报标题 | |
finding.desc | text | 事件描述 |
日志分析
日志分析是在日志检索基础上提供的实时数据分析能力,基于日志检索结果进行 SQL 分析与计算,并以分析图表的方式展示分析结果。在日志管理模块选择对应的日志主题并输入检索分析语句,指定查询时间后即可检索和分析日志数据。检索分析语句由检索条件和 SQL 分析语句构成。
- 检索条件:用于指定筛选规则,表示在检索条件筛选过的数据中进行分析与计算。日志检索必须符合查询语法,支持全文检索和键值检索,查询精度分为精确查询和模糊查询,也可以指定为空格或星号(*)表示全量数据。详细说明请参考检索概述和检索语法。
- SQL 分析语句:用于指定查询结果的分析和计算方式。支持多种 SQL 函数和 SQL 语法,详细说明请参考函数概览。
分析语句通过英文竖线|分割检索条件和 SQL 分析语句。例如:
status:200 | SELECT COUNT(*) AS PV
说明
无需进行日志分析时,仅输入检索条件即可。