You need to enable JavaScript to run this app.
导航
检索与分析日志
最近更新时间:2024.06.23 22:44:25首次发布时间:2024.06.23 22:44:25

多云安全平台预置了日志索引,您在服务成功采集到日志数据后,即可在日志模块进行检索和分析,查看安全事件或异常行为等信息,以便及时发现和应对潜在的安全威胁。

注意事项

  • 目前多云已接入日志的产品包含火山引擎 TOS、WAF、云安全中心、云审计、CFW 和 NTA,仅可查询以上产品的日志。
  • 日志数据在日志服务中的存储时间由日志项目的日志保存时间决定,已经过期删除的日志无法进行查询。

前提条件

多云安全平台已经采集到日志数据。

检索日志

多云安全平台日志检索支持按主题检索和跨主题检索两种方式,并为您提供常用查询字段,以提高检索效率。

按主题检索

按主题检索日志是指根据预置的主题分类,查询不同活动类型下的日志信息。

  1. 登录火山引擎多云安全平台控制台
  2. 在页面左侧,选择日志
  3. 选择日志主题,当前支持以下四种日志主题。
    • 系统活动:操作系统的活动日志,例如系统文件或文件夹相关行为,进程启动、终止等活动。
    • 检测活动:安全产品的发现或检测结果,恶意软件或异常行为的解决方案,或其他行为日志。
    • 网络活动:网络活动事件日志,例如网络连接、流量活动、客户端与服务器间的文件传输等。
    • 应用活动:应用和服务行为的活动日志,例如 API 相关的创建、读取、更新、和删除活动日志。
      图片
      日志主题选定后,会自动触发对应类型的条件检索,您可以在页面上查看对应数据。更多关于日志主题的详细介绍,可参考按主题查询
  4. (可选)调整日志查询的时间范围,默认查询近 3 天内的日志信息。
  5. 查看检索结果。
    关于按主题检索日志的详细介绍,可参考查看检索结果

跨主题检索

多云安全平台威胁分析功能支持按特征跨主题查询日志,便于集中查看具有相同条件的不同活动类型的日志信息。

  1. 登录火山引擎多云安全平台控制台
  2. 在页面左侧,选择日志
  3. 单击威胁日志分析
    图片
  4. 输入检索条件,然后确认。
    多云安全平台提供常用日志查询字段提示,您可以单击页面右侧的字段,快速使用该字段进行检索。关于字段的说明,可参考跨主题查询
    图片
  5. (可选)调整日志查询的时间范围,默认查询近 30 天内的日志信息。
  6. 查看检索结果。

分析日志

日志分析是在日志检索基础上提供的实时数据分析能力,基于日志检索结果进行 SQL 分析与计算,并以分析图表的方式展示分析结果。

  1. 登录火山引擎多云安全平台控制台
  2. 在页面左侧,选择日志
  3. 选择日志主题,然后在查询条件后输入 SQL 分析语句。

    说明

    |分隔检索条件和 SQL 分析语句,如列出 API 活动日志主题下的所有日志列,则输入category_uid: 6 AND class_uid: 6003 | SELECT *

  4. 查看分析结果,支持查看原始日志和图表分析结果。
    关于日志分析结果的详细介绍,可参考查看分析结果