日志功能SLS帮助您采集、存储接入办公安全平台SASE(Secure Access Service Edge)的Web访问和攻击防护日志,并基于阿里云日志服务,支持查询分析、统计图表、告警服务等功能,帮助您专注于分析,远离琐碎的查询和整理工作。本文介绍了如何开通和使用SLS日志。

前提条件

已开通SASE的日志存储服务。具体操作,请参见购买办公安全平台

操作步骤

  1. 登录办公安全平台控制台
  2. 在左侧导航栏,选择日志分析 > SLS日志
  3. 购买日志存储服务和日志存储容量。
    1. 日志分析页面,单击立即开通
    2. 办公安全平台购买页,根据您的业务需要,购买日志存储服务和日志存储容量。
    3. 单击立即购买,并完成支付。
      购买日志分析服务后,日志服务将自动为SASE创建一个专属的日志项目(Project),用于管理SASE的日志数据。您可以在日志服务控制台首页的Project列表查看SASE的专属日志项目。
  4. 开启日志采集。
    日志分析页面,设置右上角的日志状态开启

    SASE默认不采集已接入SASE的网站业务的日志数据。只有当您为网站域名开启日志采集后,SASE才会采集该网站的日志数据,并将采集到的日志数据存储到日志服务专属日志库中,供您进行查询与分析。

  5. 设置查询时间。
    单击15分钟(相对),设置查询的时间范围。

    您可以选择相对时间、整点时间和自定义时间范围。

  6. 在查询框中输入查询分析语句。

    查询分析语句由查询语句和分析语句两个部分组成,通过竖线(|)进行分隔,格式:查询语句|分析语句

    语句类型是否可选说明
    查询语句可选查询条件,可以为查询关键词、模糊查询、数值、数值范围和组合条件。

    如果为空或星号(*),表示针对当前时间段所有数据不设置任何过滤条件,即返回所有数据。更多信息,请参见查询语法

    分析语句可选对查询结果或全量数据进行计算和统计。

    如果为空,表示只返回查询结果,不做统计分析。更多信息,请参见分析概述

    说明
    • 分析语句中可以省略SQL标准语法中的from 表格名语句,即from log
    • 日志数据默认返回前100条,您可以通过LIMIT子句修改返回范围。
  7. 单击查询/分析,查看查询分析结果。
    SLS日志功能为您提供日志分布直方图、原始日志日志聚类统计图表形式的查询分析结果,并支持设置告警、快速查询、刷新、分享等操作。详情信息,请参见操作查询和分析结果

日志字段说明

字段类型名称示例
__time__text连接时间2018-02-27 11:58:15
owner_idtext用户ID123456****
usernametext用户名称张三
departmenttext部门信息测试部门
actiontext动作block
device_typetext设备类型windows
domaintext域名www.aliyundoc.com
dst_addrtext目的地址10.2.*.*:**
in_byteslong入流量234
out_byteslong出流量567
log_typetext日志类型ia_access_log
policy_nametext策略名称test
policy_typetext策略类型url_filter
protocoltext协议tcp
request_uritext请求URI/test.php
src_addrtext源地址10.4.*.*:**

常用查询语句示例

  • 查询拦截类型 
    * | select cc_action,cc_phase,count(*) as t group by cc_action,cc_phase order by t desc limit 10
  • 查询QPS 
    * | select time_series(__time__,'15m','%H:%i','0') as time,count(*)/900 as QPS group by time order by time
  • 查询被攻击域名 
    * and cc_blocks:1 | select cc_action,cc_phase,count(*) as t group by cc_action,cc_phase order by t desc limit 10
  • 查询被攻击URL 
    * and cc_blocks:1 | select count(*) as times,host,request_path group by host,request_path order by times
  • 查询请求详情 
    * | select date_format(date_trunc('second',__time__),'%H:%i:%s') as time,host,request_uri,request_method,status,upstream_status,querystring limit 10
  • 查询5XX状态码详情 
    * and status>499 | select host,status,upstream_status,count(*)as t group by host,status,upstream_status order by t desc
  • 查询请求时延分布 
    * | SELECT count_if(upstream_response_time<20) as "<20",
count_if(upstream_response_time<50 and upstream_response_time>20) as "<50",
count_if(upstream_response_time<100 and upstream_response_time>50) as "<100",
count_if(upstream_response_time<500 and upstream_response_time>100) as "<500",
count_if(upstream_response_time<1000 and upstream_response_time>500) as "<1000",
count_if(upstream_response_time>1000) as ">1000"