安全审计、威胁溯源和应急响应高度依赖对各类日志的集中管理与有效分析。日志分析功能可集中采集主机日志(如登录、进程、网络连接)和云安全中心的安全日志(如告警、漏洞、基线检查),解决日志分散、查询困难、无法关联分析的问题,以快速洞察安全事件,满足合规审计要求。
查看日志报表
云安全中心日志分析功能开通后,系统会自动创建报表仪表盘,集中展示主机日志、安全日志相关数据。
适用范围
支持的报表类型如下表所示,报表详细内容请参见附录:日志报表详情。
日志类型 | 日志报表 | 描述 |
主机日志 | 登录中心 | 分析服务器登录活动,排查异常登录。 |
进程中心 | 审计服务器上的进程启动情况,发现异常程序。 | |
网络连接中心 | 监控网络连接,识别可疑的外联或入站流量。 | |
安全日志 | 基线中心 | 了解资产的配置风险分布和修复趋势。 |
漏洞中心 | 掌握资产的漏洞分布、类型和修复状态。 | |
告警中心 | 概览所有安全事件的告警级别、类型和处理状态。 |
操作步骤
登录控制台
访问云安全中心控制台-风险治理-日志分析,在页面左侧顶部,选择需防护资产所在的区域:中国内地或非中国内地。
开启日志投递
在日志分析页面,打开启用开关。
单击任一报表页签,进入对应日志报表页签,查看该日志报表仪表盘。
设置查询时间
单击对应报表页签右上角的时间选择,打开时间设置对话框,设置日志查询时间。
说明时间选择器仅在当前页面临时生效,系统不保存该设置。下次重新打开该报表页面时,仪表盘将恢复到默认时间范围。
设置刷新频率(可选)
单击对应报表页签中右上角的刷新,设置日志报表的刷新频率。
仅一次:立即刷新。
自动刷新:设置刷新频率。每15秒、60秒、5分钟或15分钟刷新一次。
导出日志
登录云安全中心控制台。
在左侧导航栏,选择。在控制台左上角,选择需防护资产所在的区域:中国内地或非中国内地。
在左上角下拉框中选择日志类型,并根据需要查询需要的日志。查询日志的具体操作,请参见自定义日志查询与分析。
在原始日志页签的日志列表上方,单击
图标后选择下载日志。在日志下载对话框,配置相关信息后单击确认。
重要普通查询语句日志最多可下载2,000万条。
时间范围: (只读)导出任务覆盖的日志时间段。
查询语句: (只读)导出任务使用的查询语句。
任务名: 自定义任务名称,便于识别。
日志数量: 导出全部 (上限2000万条) 或自定义数量。
数据格式: 可选
CSV(通用表格 )或json(结构化数据)。quote字符: 仅用于CSV格式,用引号包裹字段内容,防止错乱。可选:
"或'。允许下载不精确结果: 处理估算查询时使用。
是: 速度快,结果可能为近似值。
否: 结果精确,但耗时长或可能失败。
压缩方式: 导出文件的压缩格式,可选:不压缩、
gzip、zstd。排序规则: 按时间排序方式,可选:升序 (asc) 或降序 (desc)。
下载文件
在原始日志页签的日志列表上方,单击
图标后选择下载历史。在下载历史对话框,查看导出任务状态。任务状态为任务成功时,单击下载。
也可前往日志服务(SLS)控制台,获取更多下载方式(如Cloud Shell下载、命令行下载),具体操作步骤请参见下载日志。
日志服务高级管理
云安全中心日志分析服务提供日志服务高级管理功能,可通过日志服务高级管理功能跳转到日志服务页面,执行设置告警与通知方式、实时订阅与消费、数据投递等操作。
访问云安全中心控制台-风险治理-日志分析,在页面左侧顶部,选择需防护资产所在的区域:中国内地或非中国内地。
单击日志分析页面右上角的日志服务高级管理。
跳转至日志服务管理控制台,执行更多操作。相关步骤请参见设置告警、通知方式、数据投递。
说明日志服务还提供了API方式实现写入、查询日志数据、管理项目及日志库等功能。详细内容,请参见日志服务API,
附录:日志报表详情
主机日志
登录中心
图表名称 | 图表类型 | 默认时间范围 | 描述 | 样例 |
登录次数 | 单值比较 | 1小时(相对)/同比昨日 | 总的登录总数,以及与昨日同时段相比的百分比增减情况。 | 10.0次,10% |
被登录设备数 | 单值比较 | 今天(整点时间)/同比昨日 | 被登录的独立主机设备的个数,以及与昨日全天相比增加或减少的情况。 | 10个,-10% |
独立登录源IP数 | 单值比较 | 今天(整点时间)/同比昨日 | 登录设备的独立源IP个数,以及与昨日全天相比增加或减少的情况。 | 10个,10% |
独立登录用户名数 | 单值比较 | 今天(整点时间)/同比昨日 | 登录设备的独立用户名的个数,以及与昨日全天相比增加或减少的情况。 | 10个,10% |
终端登录监控趋势 | 柱状图与线图 | 今天(整点时间) | 每小时的发生登录事件的设备以及登录次数的趋势图。 | 无 |
登录方式趋势 | 流图 | 今天(整点时间) | 每小时的登录方式(RDP、SSH等)的趋势图,单位为次/小时。 | 无 |
登录方式分布 | 饼图 | 4小时(相对) | 登录方式(RDP、SSH等)的趋势图的分布。 | 无 |
设备分布 | 地图(全球) | 4小时(相对) | 有外网地址的设备上发生登录的设备数的地理分布。 | 无 |
登录来源分布 | 地图(全球) | 4小时(相对) | 有外网地址的设备上登录来源的登录数地理分布。 | 无 |
独立登录源分布 | 地图(全球) | 4小时(相对) | 有外网地址的设备上独立登录来源数的地理分布。 | 无 |
登录最多的10个用户 | 饼图 | 4小时(相对) | 登录次数排名前10的用户名。 | 无 |
登录最多的10个端口 | 饼图 | 4小时(相对) | 登录次数排名前10的目标端口。 | 无 |
登录机器最多30个用户和来源 | 表格 | 4小时(相对) | 登录机器次数排名前30的用户和来源,包括来源网络、登录IP、用户名、登录方式、登录的独立设备数以及次数等。 | 无 |
进程中心
图表名称 | 图表类型 | 默认时间范围 | 描述 | 样例 |
进程启动次数 | 单值比较 | 1小时(相对)/同比昨日 | 进程启动事件总数,以及与昨日同时段相比的百分比增加或减少状况。 | 10.0千个,0.01% |
相关设备数 | 单值比较 | 今天(整点时间)/同比昨日 | 发生进程启动事件的独立主机设备的个数,以及与昨日全天相比增加或减少的情况。 | 10.0个,0.01% |
独立启动进程名数 | 单值比较 | 今天(整点时间)/同比昨日 | 启动的独立进程名的个数,以及与昨日全天相比增加或减少的情况。 | 10.0个,0.01% |
终端设备数 | 柱状图与线图 | 今天(整点时间) | 每小时的发生进程启动的设备以及独立进程名个数的趋势图,单位为个/小时。 | 无 |
进程启动趋势 | 线图 | 今天(整点时间) | 每小时的每台设备平均启动进程数,单位为个/小时。 | 无 |
外网设备分布 | 地图(全球) | 今天(整点时间) | 发生进程启动的有外网地址的设备数的地理分布。 | 无 |
外网设备上进程启动次数分布 | 地图(全球) | 今天(整点时间) | 有外网地址的设备上发生的进程事件数的地理分布。 | 无 |
启动次数最多的20个进程 | 表格 | 今天(整点时间) | 启动次数排名前20的进程,包括进程名、进程路径、启动次数等。 | 无 |
触发Bash最多的前20个进程 | 表格 | 今天(整点时间) | 触发Bash排名前20的进程,包括父进程名、触发总数等。 | 无 |
启动进程最多的前30个Java文件 | 表格 | 今天(整点时间) | 启动进程次数排名前30的Java文件,包括Jar文件名、Jar文件路径、总的启动次数等。 | 无 |
启动进程最多的前30个客户端 | 表格 | 今天(整点时间) | 启动进程次数排名前30的客户端,包括客户端、总的启动次数、这个客户端上启动次数最多的命令行、对应进程名、次数和占比等。 | 无 |
网络连接中心
图表名称 | 图表类型 | 默认时间范围 | 描述 | 样例 |
连接事件数 | 单值比较 | 1小时(相对)/同比昨日 | 设备上网络连接的变化事件总数,以及与昨日同时段相比的百分比增减少状况。 | 10.0个,-0.01% |
相关设备数 | 单值比较 | 今天(整点时间)/环比昨日 | 发生连接变化事件的独立主机设备的个数,以及与昨日全天相比增加或减少的情况。 | 10.0个,0.01% |
独立进程数 | 单值比较 | 今天(整点时间)/同比昨日 | 发生网络连接的变化事件独立进程名数,以及与昨日全天相比增加或减少的情况。 | 10.0个,0.01% |
独立源IP数 | 单值比较 | 今天(整点时间)/同比昨日 | 发生网络连接的变化事件的独立连接源IP的个数,以及与昨日全天相比增加或减少的情况。 | 10.0个,0.01% |
独立目标IP数 | 单值比较 | 今天(整点时间)/同比昨日 | 发生网络连接的变化事件的独立连接目标IP的个数,以及与昨日全天相比增加或减少的情况。 | 1.0千个,0.01% |
网络连接趋势 | 双线图 | 1小时(相对) | 每小时发生网络连接的设备数以及事件数的趋势图,单位为个/每小时。 | 无 |
连接类型趋势 | 双线图 | 1小时(相对) | 每小时发生网络连接变化事件的连接类型(对外、接收)分布的趋势图,单位为个/每小时。 | 无 |
连接类型分布 | 饼图 | 1小时(相对) | 网络连接变化事件的连接类型(对外、接收)的分布。 | 无 |
协议类型分布 | 饼图 | 1小时(相对) | 网络连接变化事件的连接协议(TCP、UDP等)的分布。 | 无 |
外网设备分布 | 地图(全球) | 1小时(相对) | 发生网络连接变化事件的设备数的地理分布。 | 无 |
外网设备事件分布 | 地图(全球) | 1小时(相对) | 发生有外网地址的设备上网络连接变化事件数的地理分布。 | 无 |
对外连接目标分布 | 地图(全球) | 1小时(相对) | 网络连接变化事件的对外连接的目标的地理分布。 | 无 |
接收连接源分布 | 地图(全球) | 1小时(相对) | 网络连接变化事件的接收连接的源目标的地理分布。 | 无 |
对外连接最多的30个设备 | 表格 | 1小时(相对) | 发生对外连接类型的网络连接变化事件排名前30的设备,包括设备、对外连接事件数、独立的连接目标数以及样例。 | 无 |
接收连接最多的30个设备 | 表格 | 1小时(相对) | 发生接收连接类型的网络连接变化事件排名前30的设备,包括设备、侦听IP、接收连接事件数、侦听端口数以及样例。 | 无 |
对外连接目标最多的30个设备 | 表格 | 1小时(相对) | 发生对外连接类型的网络连接变化事件目标排名前30的设备,包括设备、对外连接事件数、独立的连接目标数以及样例。 | 无 |
接收连接最多的30个侦听端口 | 表格 | 1小时(相对) | 发生接收连接类型的网络连接变化事件排名前30的侦听端口,包括侦听端口、接收连接事件数以及样例。 | 无 |
对外连接最多的30个进程 | 表格 | 1小时(相对) | 发生对外连接类型的网络连接变化事件排名前30的进程,包括进程名、对外连接事件数、相关设备数以及路径样例。 | 无 |
接收连接最多的30个进程 | 表格 | 1小时(相对) | 发生接收连接类型的网络连接变化事件排名前30的进程,包括进程名、对外连接事件数、相关设备数以及路径样例。 | 无 |
安全日志
基线中心
图表名称 | 图表类型 | 默认时间范围 | 描述 | 样例 |
相关客户端数 | 单值比较 | 今天(整点时间)/同比昨日 | 发生基线问题的独立主机设备的个数,,以及与昨日全天相比增加或减少的情况。 | 10.0个,0.01% |
新增基线数 | 单值比较 | 今天(整点时间)/同比昨日 | 新增基线事件数,以及与昨日全天相比增加或减少的情况。 | 10.0个,-0.01% |
验证基线数 | 单值比较 | 今天(整点时间)/同比昨日 | 验证基线事件数,以及与昨日全天相比增加或减少的情况。 | 10.0个,-0.01% |
高优先级基线数 | 单值比较 | 今天(整点时间)/环比昨日 | 发生的高优先级的基线事件的个数,以及与昨日全天相比增加或减少的情况。 | 10.0个,0.01% |
基线操作趋势 | 流图 | 今天(整点时间) | 每小时的各种基线操作(新增、验证等)的趋势图,单位为个。 | 无 |
基线子类型趋势 | 流图 | 今天(整点时间) | 每小时的各种基线子类型(系统账户安全、注册表等)的趋势图,单位为个。 | 无 |
基线状态趋势 | 流图 | 今天(整点时间) | 每小时的各种基线状态(未修复、已修复)的趋势图,单位为个。 | 无 |
基线操作方式分布 | 环图 | 今天(整点时间) | 各种基线操作(新增、验证等)的分布。 | 无 |
基线子类型分布 | 环图 | 今天(整点时间) | 各种基线子类型(系统账户安全、注册表等)的分布。 | 无 |
基线状态分布 | 环图 | 今天(整点时间) | 各种基线最新状态(未修复、已修复、修复失败等)的分布。 重要 如果一台服务器的一个基线有多个状态变化,取最新的状态归类。 | 无 |
新增基线Top10 | 环图 | 今天(整点时间) | 在各个设备上新增次数排名前10的基线。 | 无 |
验证基线Top10 | 环图 | 今天(整点时间) | 在各个设备上验证次数排名前10的基线。 | 无 |
基线事件客户端Top20 | 表格 | 今天(整点时间) | 存在基线事件的数量排名前10的设备,包括客户端、基线事件数、新增基线数量、处理基线数量、高或中优先级数量。 | 无 |
漏洞中心
图表名称 | 图表类型 | 默认时间范围 | 描述 | 样例 |
相关客户端数 | 单值比较 | 今天(整点时间)/同比昨日 | 发生漏洞问题的独立主机设备的个数,以及与昨日全天相比增加或减少的情况。 | 10.0个,0.01% |
新增漏洞数 | 单值比较 | 今天(整点时间)/同比昨日 | 新增安全漏洞事件数,以及与昨日全天相比增加或减少的情况。 | 10.0个,0.01% |
验证漏洞数 | 单值比较 | 今天(整点时间)/同比昨日 | 验证安全漏洞事件数,以及与昨日全天相比增加或减少的情况。 | 10.0个,-0.01% |
修复漏洞数 | 单值比较 | 今天(整点时间)/同比昨日 | 修复安全漏洞事件数,以及与昨日全天相比增加或减少的情况。 | 10.0个,-0.01% |
漏洞操作趋势 | 流图 | 今天(整点时间) | 每小时的各种漏洞操作(新增、验证等)的趋势图,单位为个。 | 无 |
漏洞类型趋势 | 流图 | 今天(整点时间) | 每小时的各种漏洞类型(Windows漏洞、Linux漏洞、Web-CMS漏洞等)的趋势图,单位为个。 | 无 |
漏洞状态趋势 | 流图 | 今天(整点时间) | 每小时的各种漏洞状态(未修复、已修复)的趋势图,单位为个。 | 无 |
漏洞操作方式分布 | 环图 | 今天(整点时间) | 各种漏洞操作(新增、验证等)的分布。 | 无 |
漏洞类型分布 | 环图 | 今天(整点时间) | 各种漏洞类型(Windows漏洞、Linux漏洞、Web漏洞等)的分布。 | 无 |
漏洞状态分布 | 环图 | 今天(整点时间) | 各种漏洞最新状态(未修复、已修复、修复失败等)的分布。 重要 如果一台机器的一个漏洞有多个状态变化,取最新的状态归类。 | 无 |
新增漏洞Top10 | 环图 | 今天(整点时间) | 在各个设备上新增数量排名前10的漏洞。 | 无 |
验证漏洞Top10 | 环图 | 今天(整点时间) | 在各个设备上验证数量排名前10的漏洞。 | 无 |
修复漏洞Top10 | 环图 | 今天(整点时间) | 在各个设备上修复数量排名前10的漏洞。 | 无 |
漏洞事件客户端Top20 | 表格 | 今天(整点时间) | 存在漏洞数量排名前20的设备,包括客户端、漏洞事件总数、新增漏洞数量、验证漏洞数量、修复漏洞数量、各种类型漏洞数量。 | 无 |
告警中心
图表名称 | 图表类型 | 默认时间范围 | 描述 | 样例 |
相关客户端数 | 单值比较 | 今天(整点时间)/同比昨日 | 发生安全告警问题的独立主机设备的个数,以及与昨日全天相比增加或减少的情况。 | 10.0个,0.01% |
新增告警数 | 单值比较 | 今天(整点时间)/同比昨日 | 新增安全告警事件数,以及与昨日全天相比增加或减少的情况。 | 10.0个,-0.01% |
处理告警数 | 单值比较 | 今天(整点时间)/同比昨日 | 处理安全告警事件数,以及与昨日全天相比增加或减少的情况。 | 10.0个,0.01% |
高优先级告警数 | 单值比较 | 今天(整点时间)/环比昨日 | 发生的严重的安全告警事件的个数,以及与昨日全天相比增加或减少的情况。 | 10.0个,-0.01% |
告警操作趋势 | 流图 | 今天(整点时间) | 每小时的各种告警操作(新增、处理等)的趋势图,单位为个。 | 无 |
告警级别趋势 | 流图 | 今天(整点时间) | 每小时的各种告警级别(严重、可疑、提醒等)的趋势图,单位为个。 | 无 |
告警状态趋势 | 流图 | 今天(整点时间) | 每小时的各种告警状态(未修复、已修复)的趋势图,单位为个。 | 无 |
告警操作方式分布 | 环图 | 今天(整点时间) | 各种告警操作(新增、处理等)的分布。 | 无 |
告警级别分布 | 环图 | 今天(整点时间) | 各种告警级别(严重、可疑、提醒等)的分布。 | 无 |
告警状态分布 | 环图 | 今天(整点时间) | 各种告警最新状态(未修复、已修复、修复失败等)的分布。 重要 如果一台机器的一个告警有多个状态变化,取最新的状态归类。 | 无 |
新增告警Top10 | 环图 | 今天(整点时间) | 在各个设备上新增数量排名前10的告警。 | 无 |
处理告警Top10 | 环图 | 今天(整点时间) | 在各个设备上处理数量排名前10的告警。 | 无 |
告警事件客户端Top20 | 表格 | 今天(整点时间) | 告警事件数量排名前20的设备,包括客户端、告警事件数、新增或处理事件数、严重或可疑事件数、告警种类等。 | 无 |
常见问题
为什么日志导出任务失败?
可能的原因及解决方案如下:
查询的日志量超过2,000万条的上限。
查询语句过于复杂导致计算超时,可尝试缩小查询的时间范围或简化查询语句然后重试。
为什么报表中没有数据?
请按以下步骤排查:
确认已在日志分析页面开启启用开关。
确认选择了正确的时间范围。
如果是刚开启功能,数据投递和处理需要一定时间,请等待5-10分钟。