如何使用办公安全平台SLS日志进行日志分析-办公安全平台(SASE)-阿里云帮助中心

前提条件

已开通SASE的日志存储服务。

如何开通日志存储服务

登录办公安全平台控制台。
在左侧导航栏，选择日志分析 > SLS日志。
在日志分析页面单击立即开通。
根据您的业务需要，设置日志存储服务和日志存储容量。单击立即购买，并完成支付。

购买日志分析服务后，日志服务将自动为SASE创建一个专属的日志项目（Project），用于管理SASE的日志数据。您可以在日志服务控制台首页的Project列表查看SASE的专属日志项目。

开启日志采集和存储功能

登录办公安全平台控制台。
在左侧导航栏，选择日志分析 > SLS日志。
在日志分析页面右上角，单击日志状态，开启日志采集和存储功能。
SASE支持存储的日志类型
- 内网访问日志
- PA敏感文件下载检测日志
- 企业加速日志
- 客户端登录日志
- 客户端状态日志
- DLP日志
- OneData日志
- 上网行为审计日志
- 动态决策日志
- 终端加固日志
- 主动防御日志
- 病毒查杀日志
- 漏洞修复日志

查看日志及开启日志投递

单击页面左上角下拉列表。
选择需要查看的日志类型，可按条件筛选查询结果。
单击日志类型右侧的开关按钮，可以设置该日志类型的日志投递启停状态。

支持的日志类型包括：内网访问日志、PA敏感文件下载检测日志、企业加速日志、客户端登录日志、客户端状态日志、DLP日志、OneData日志、上网行为审计日志。

在页面顶部的查询输入框中输入查询语句，并在输入框右侧的时间选择器中设置查询时间范围。

查询分析语句由查询语句和分析语句两个部分组成，通过竖线（|）进行分隔，格式：查询语句|分析语句。

语句类型

是否可选

说明

查询语句

必选

查询条件，可以为查询关键词、模糊查询、数值、数值范围和组合条件。

如果为空或星号（*），表示针对当前时间段所有数据不设置任何过滤条件，即返回所有数据。更多信息，请参见查询语法与功能。

分析语句

可选

对查询结果或全量数据进行计算和统计。

如果为空，表示只返回查询结果，不做统计分析。更多信息，请参见查询与分析概述。

说明

分析语句中可以省略SQL标准语法中的from 表格名语句，即from log。
日志数据默认返回前100条，您可以通过LIMIT子句修改返回范围。

常见日志分析查询语句

SASE客户端在线状态

使用以下查询语句之前，您需要为app_stastus字段手动添加索引。具体操作，请参见创建索引。

查询终端设备在线状态数量

* AND log_type : client_status_log | select username,app_status,COUNT(*) AS cn GROUP BY username,app_status order by cn desc limit 10000

查询终端设备离线状态数量

* AND log_type : client_status_log AND app_status:offline | select username,app_status,COUNT(*) AS cn GROUP BY username,app_status order by cn desc limit 10000

SASE客户端登录

查询终端设备登录动作

* AND log_type : client_logon_log | select username,action,COUNT(*) AS cn GROUP BY username,action order by cn desc limit 10000

内网访问

查询内网访问内网的设备和用户

* AND log_type : pa_access_log | select username,device_type,COUNT(*) AS cn GROUP BY username,device_type order by cn desc limit 10000

查询访问被拦截原因

* AND log_type : pa_access_log AND action:block | select username,block_info,COUNT(*) AS cn GROUP BY username,block_info order by cn desc limit 10000

检测敏感文件

查询敏感文件匹配的策略次数

* AND log_type : dlp_log | select username,matched_policy,COUNT(*) AS cn GROUP BY username,matched_policy order by cn desc limit 10000

单击查询/分析，查看分析结果。

SLS日志功能为您提供日志分布直方图、原始日志等形式的查询分析结果，并支持设置告警、快速查询、刷新、分享等操作。具体信息，请参见查询/分析页面说明。

查看数据报表

OneData日志和上网行为审计日志支持查看数据报表。

在下拉列表中切换到OneData日志或上网行为审计日志，然后单击数据报表页签。
在数据报表页签中分别查看日志相关数据情况。
- 时间选择：单击列表右上方的时间范围，按照时间范围展示报表数据。
- 下钻分析：单击报表右上方的，在下钻分析弹窗中查看不同数据源的数据信息。
  
  在弹窗左上角的数据源类型下拉框中选择Prometheus，设置时间范围，配置指标查询条件（包括Metrics 探索、地域、实例等），然后单击执行查询。右侧可切换可视化类型（表格、线图、柱状图、统计图、饼图、刻度盘、计量图）。

日志字段说明

字段名称	含义及说明	示例
__time__	操作时间。	2018-02-27 11:58:15
aliuid	阿里云账号ID。	141681795035****
username	企业员工名称。	张三
department	企业员工所在的部门名称。	测试部门
action	根据您查询的日志类型不同，取值也不同。目前支持该字段的日志类型包含：内网访问日志、客户端登录日志。在内网访问日志类型中，该字段的取值： allow：表示当前策略是允许用户或者终端访问指定应用。 block：表示当前策略是拒绝用户或者终端访问指定应用。在客户端登录日志类型中，该字段的取值： logon：表示当前终端设备登录SASE客户端。 logout：表示当前终端设备登出SASE客户端。 exit：表示当前客户端退出SASE客户端。	block
device_type	终端设备类型。取值： Windows macOS Linux Android iOS	Windows
device_tag	终端设备标识，唯一值。	ccabaebc-77b3-a877-23f1-31b89b59****
domain	内网访问的网站域名。	www.aliyundoc.com
dst_addr	内网访问的目的地址。	10.2.XX.XX
dst_port	内网访问的目的地址端口。	80
src_addr	内网访问的源地址。	10.4.XX.XX
src_port	内网访问的源地址端口。	30001
in_bytes	入方向流量。单位：byte。	234
out_bytes	出方向流量。单位：byte。	567
log_type	日志类型。取值： pa_access_log：内网访问日志 client_logon_log：客户端登录日志 dlp_log：检测敏感文件外发日志 client_status_log：客户端在线状态日志	ia_access_log
policy_name	策略名称。	test
protocol	协议。取值：全部 tcp udp	tcp
request_uri	请求URI。	/test.php
app_status	终端状态。取值：在线离线	在线
event_time	事件产生时间。使用Unix时间戳格式表示，单位：秒。	1675278754
unixtime	事件记录事件。使用Unix时间戳格式表示，单位：秒。	1675278754