多云安全平台预置了日志索引，您在服务成功采集到日志数据后，即可在日志模块进行检索和分析，查看安全事件或异常行为等信息，以便及时发现和应对潜在的安全威胁。

注意事项

• 目前多云已接入日志的产品包含火山引擎 TOS、WAF、云安全中心、云审计、CFW 和 NTA，仅可查询以上产品的日志。
• 日志数据在日志服务中的存储时间由日志项目的日志保存时间决定，已经过期删除的日志无法进行查询。

前提条件

多云安全平台已经采集到日志数据。

检索日志

多云安全平台日志检索支持按主题检索和跨主题检索两种方式，并为您提供常用查询字段，以提高检索效率。

按主题检索

按主题检索日志是指根据预置的主题分类，查询不同活动类型下的日志信息。

1. 登录火山引擎多云安全平台控制台。
2. 在页面左侧，选择日志。
3. 选择日志主题，当前支持以下四种日志主题。
   • 系统活动：操作系统的活动日志，例如系统文件或文件夹相关行为，进程启动、终止等活动。
   • 检测活动：安全产品的发现或检测结果，恶意软件或异常行为的解决方案，或其他行为日志。
   • 网络活动：网络活动事件日志，例如网络连接、流量活动、客户端与服务器间的文件传输等。
   • 应用活动：应用和服务行为的活动日志，例如 API 相关的创建、读取、更新、和删除活动日志。
     
     日志主题选定后，会自动触发对应类型的条件检索，您可以在页面上查看对应数据。更多关于日志主题的详细介绍，可参考按主题查询。
4. （可选）调整日志查询的时间范围，默认查询近 3 天内的日志信息。
5. 查看检索结果。
   关于按主题检索日志的详细介绍，可参考查看检索结果。

跨主题检索

多云安全平台威胁分析功能支持按特征跨主题查询日志，便于集中查看具有相同条件的不同活动类型的日志信息。

1. 登录火山引擎多云安全平台控制台。
2. 在页面左侧，选择日志。
3. 单击威胁日志分析。
   
4. 输入检索条件，然后确认。
   多云安全平台提供常用日志查询字段提示，您可以单击页面右侧的字段，快速使用该字段进行检索。关于字段的说明，可参考跨主题查询。
   
5. （可选）调整日志查询的时间范围，默认查询近 30 天内的日志信息。
6. 查看检索结果。

分析日志

日志分析是在日志检索基础上提供的实时数据分析能力，基于日志检索结果进行 SQL 分析与计算，并以分析图表的方式展示分析结果。

1. 登录火山引擎多云安全平台控制台。
2. 在页面左侧，选择日志。
3. 选择日志主题，然后在查询条件后输入 SQL 分析语句。

   说明

   用|分隔检索条件和 SQL 分析语句，如列出 API 活动日志主题下的所有日志列，则输入category_uid: 6 AND class_uid: 6003 | SELECT *

4. 查看分析结果，支持查看原始日志和图表分析结果。
   关于日志分析结果的详细介绍，可参考查看分析结果。