文档

日志分析

更新时间:

日志分析功能帮助您采集、存储接入办公安全平台SASE(Secure Access Service Edge)的日志信息,并基于阿里云日志服务,支持查询分析、统计图表、告警服务等功能,帮助您专注于分析,远离琐碎的查询和整理工作。本文介绍如何开通和分析日志。

SASE支持存储的日志类型

  • 内网访问日志

  • 互联网访问日志

  • 客户端登录日志

  • 检测敏感文件外发日志

  • 客户端在线状态日志

前提条件

已开通SASE的日志存储服务。具体操作,请参见购买办公安全平台

操作步骤

  1. 登录办公安全平台控制台

  2. 在左侧导航栏,选择日志分析 > SLS日志

  3. 购买日志存储服务和日志存储容量。

    1. 日志分析页面,单击立即开通

    2. 根据您的业务需要,设置日志存储服务和日志存储容量。单击立即购买,并完成支付。

      购买日志分析服务后,日志服务将自动为SASE创建一个专属的日志项目(Project),用于管理SASE的日志数据。您可以在日志服务控制台首页的Project列表查看SASE的专属日志项目。

  4. 开启日志采集。

    日志分析页面,设置右上角的日志状态开启SASE默认不采集已接入SASE的网站业务的日志数据。只有您为网站域名开启日志采集后,SASE才会采集该网站的日志数据,并将采集到的日志数据存储到日志服务专属日志库中,供您进行查询与分析。

  5. 设置查询时间。

    单击最近15分钟,设置查询的时间范围。您可以选择相对时间、整点时间和自定义时间范围。

  6. 在查询框中输入查询分析语句。

    查询分析语句由查询语句和分析语句两个部分组成,通过竖线(|)进行分隔,格式:查询语句|分析语句

    语句类型

    是否可选

    说明

    查询语句

    可选

    查询条件,可以为查询关键词、模糊查询、数值、数值范围和组合条件。

    如果为空或星号(*),表示针对当前时间段所有数据不设置任何过滤条件,即返回所有数据。更多信息,请参见查询语法

    分析语句

    可选

    对查询结果或全量数据进行计算和统计。

    如果为空,表示只返回查询结果,不做统计分析。更多信息,请参见分析概述

    说明
    • 分析语句中可以省略SQL标准语法中的from 表格名语句,即from log

    • 日志数据默认返回前100条,您可以通过LIMIT子句修改返回范围。

  7. 单击查询/分析,查看查询分析结果。

    SLS日志功能为您提供日志分布直方图、原始日志日志聚类统计图表形式的查询分析结果,并支持设置告警、快速查询、刷新、分享等操作。具体信息,请参见操作查询和分析结果

日志字段说明

字段名称

含义及说明

示例

__time__

操作时间。

2018-02-27 11:58:15

aliuid

阿里云账号ID。

141681795035****

username

企业员工名称。

张三

department

企业员工所在的部门名称。

测试部门

action

根据您查询的日志类型不同,取值也不同。目前支持该字段的日志类型包含:内网访问日志、客户端登录日志。

在内网访问日志类型中,该字段的取值:

  • allow:表示当前策略是允许用户或者终端访问指定应用。

  • block:表示当前策略是拒绝用户或者终端访问指定应用。

在客户端登录日志类型中,该字段的取值:

  • logon:表示当前终端设备登录SASE客户端。

  • logout:表示当前终端设备登出SASE客户端。

  • exit:表示当前客户端退出SASE客户端。

block

device_type

终端设备类型。取值:

  • Windows

  • macOS

  • Linux

  • Android

  • iOS

Windows

device_tag

终端设备标识,唯一值。

ccabaebc-77b3-a877-23f1-31b89b59****

domain

内网访问的网站域名。

www.aliyundoc.com

dst_addr

内网访问的目的地址。

10.2.XX.XX

dst_port

内网访问的目的地址端口。

80

scr_addr

内网访问的源地址。

10.4.XX.XX

src_port

内网访问的源地址端口。

30001

in_bytes

入方向流量。单位:byte。

234

out_bytes

出方向流量。单位:byte。

567

log_type

日志类型。取值:

  • pa_access_log:内网访问日志

  • client_logon_log:客户端登录日志

  • dlp_log:检测敏感文件外发日志

  • client_status_log:客户端在线状态日志

ia_access_log

policy_name

策略名称。

test

protocol

协议。取值:

  • 全部

  • tcp

  • udp

tcp

request_uri

请求URI。

/test.php

app_status

终端状态。取值:

  • 在线

  • 离线

在线

event_time

事件产生时间。使用Unix时间戳格式表示,单位:秒。

1675278754

unixtime

事件记录事件。使用Unix时间戳格式表示,单位:秒。

1675278754

常见日志分析查询语句

SASE客户端在线状态

使用以下查询语句之前,您需要为app_stastus字段手动添加索引。具体操作,请参见创建索引

  • 查询终端设备在线状态数量

    * AND log_type : client_status_log | select username,app_status,COUNT(*) AS cn GROUP BY username,app_status order by cn desc limit 10000
  • 查询终端设备离线状态数量

    * AND log_type : client_status_log AND app_status:offline | select username,app_status,COUNT(*) AS cn GROUP BY username,app_status order by cn desc limit 10000

SASE客户端登录

查询终端设备登录动作

* AND log_type : client_logon_log | select username,action,COUNT(*) AS cn GROUP BY username,action order by cn desc limit 10000

内网访问

  • 查询内网访问内网的设备和用户

    * AND log_type : pa_access_log | select username,device_type,COUNT(*) AS cn GROUP BY username,device_type order by cn desc limit 10000
  • 查询访问被拦截原因

    * AND log_type : pa_access_log AND action:block | select username,block_info,COUNT(*) AS cn GROUP BY username,block_info order by cn desc limit 10000

检测敏感文件

查询敏感文件匹配的策略次数

* AND log_type : dlp_log | select username,matched_policy,COUNT(*) AS cn GROUP BY username,matched_policy order by cn desc limit 10000

  • 本页导读 (1)