全部產品
Search

搜尋本產品

    Secure Access Service Edge:日誌分析

    文件中心

    Secure Access Service Edge:日誌分析

    更新時間:Oct 29, 2024

    日誌分析功能協助您採集、儲存接入辦公安全平台SASE(Secure Access Service Edge)的日誌資訊,並基於阿里雲Log Service,支援查詢分析、統計圖表、警示服務等功能,協助您專註於分析,遠離瑣碎的查詢和整理工作。本文介紹如何開通和分析日誌。

    SASE支援儲存的日誌類型

    • 內網訪問日誌

    • 互連網訪問日誌

    • 用戶端登入日誌

    • 檢測敏感檔案外發日誌

    • 用戶端線上狀態日誌

    前提條件

    已開通SASE的日誌儲存服務。

    操作步驟

    1. 登入辦公安全平台控制台

    2. 在左側導覽列,選擇日誌分析 > SLS日誌

    3. 購買日誌儲存服務和日誌儲存容量。

      1. 日誌分析頁面,單擊立即開通

      2. 根據您的業務需要,設定日誌儲存服務和日誌儲存容量。單擊立即購買,並完成支付。

        購買日誌分析服務後,Log Service將自動為SASE建立一個專屬的記錄項目(Project),用於管理SASE的日誌資料。您可以在Log Service控制台首頁的Project列表查看SASE的專屬記錄項目。

    4. 開啟日誌採集。

      日誌分析頁面,設定右上方的日誌狀態開啟SASE預設不採集已接入SASE的網站業務的日誌資料。只有您為網站網域名稱開啟日誌採集後,SASE才會採集該網站的日誌資料,並將採集到的日誌資料存放區到Log Service專屬日誌庫中,供您進行查詢與分析。

    5. 設定查詢時間。

      單擊最近15分鐘,設定查詢的時間範圍。您可以選擇相對時間、整點時間和自訂時間範圍。

    6. 在查詢方塊中輸入查詢分析語句。

      查詢分析語句由查詢語句和分析語句兩個部分組成,通過豎線(|)進行分隔,格式:查詢語句|分析語句

      語句類型

      是否可選

      說明

      查詢語句

      必選

      查詢條件,可以為查詢關鍵詞、模糊查詢、數值、數值範圍和組合條件。

      如果為空白或星號(*),表示針對目前時間段所有資料不設定任何過濾條件,即返回所有資料。更多資訊,請參見查詢文法

      分析語句

      可選

      對查詢結果或全量資料進行計算和統計。

      如果為空白,表示只返回查詢結果,不做統計分析。更多資訊,請參見分析概述

      說明

      • 分析語句中可以省略SQL標準文法中的from 表格名語句,即from log

      • 日誌資料預設返回前100條,您可以通過LIMIT子句修改返回範圍。

    7. 單擊查詢/分析,查看查詢分析結果。

      SLS日誌功能為您提供日誌分布長條圖、原始日誌日誌聚類統計圖表形式的查詢分析結果,並支援設定警示、快速查詢、重新整理、分享等操作。具體資訊,請參見步驟二:查看查詢和分析結果

    日誌欄位說明

    欄位名稱

    含義及說明

    樣本

    __time__

    操作時間。

    2018-02-27 11:58:15

    aliuid

    阿里雲帳號ID。

    141681795035****

    username

    企業員工名稱。

    張三

    department

    企業員工所在的部門名稱。

    測試部門

    action

    根據您查詢的日誌類型不同,取值也不同。目前支援該欄位的日誌類型包含:內網訪問日誌、用戶端登入日誌。

    在內網訪問日誌類型中,該欄位的取值:

    • allow:表示當前策略是允許使用者或者終端訪問指定應用。

    • block:表示當前策略是拒絕使用者或者終端訪問指定應用。

    在用戶端登入日誌類型中,該欄位的取值:

    • logon:表示當前終端裝置登入SASE用戶端。

    • logout:表示當前終端裝置登出SASE用戶端。

    • exit:表示當前用戶端退出SASE用戶端。

    block

    device_type

    終端裝置類型。取值:

    • Windows

    • macOS

    • Linux

    • Android

    • iOS

    Windows

    device_tag

    終端裝置標識,唯一值。

    ccabaebc-77b3-a877-23f1-31b89b59****

    domain

    內網訪問的網站網域名稱。

    www.aliyundoc.com

    dst_addr

    內網訪問的目的地址。

    10.2.XX.XX

    dst_port

    內網訪問的目的地址連接埠。

    80

    scr_addr

    內網訪問的源地址。

    10.4.XX.XX

    src_port

    內網訪問的源地址連接埠。

    30001

    in_bytes

    入方向流量。單位:byte。

    234

    out_bytes

    出方向流量。單位:byte。

    567

    log_type

    日誌類型。取值:

    • pa_access_log:內網訪問日誌

    • client_logon_log:用戶端登入日誌

    • dlp_log:檢測敏感檔案外發日誌

    • client_status_log:用戶端線上狀態日誌

    ia_access_log

    policy_name

    策略名稱稱。

    test

    protocol

    協議。取值:

    • 全部

    • tcp

    • udp

    tcp

    request_uri

    請求URI。

    /test.php

    app_status

    終端狀態。取值:

    • 線上

    • 離線

    線上

    event_time

    事件產生時間。使用Unix時間戳記格式表示,單位:秒。

    1675278754

    unixtime

    事件記錄事件。使用Unix時間戳記格式表示,單位:秒。

    1675278754

    常見日誌分析查詢語句

    SASE用戶端線上狀態

    使用以下查詢語句之前,您需要為app_stastus欄位手動添加索引。具體操作,請參見建立索引

    • 查詢終端裝置線上狀態數量

      * AND log_type : client_status_log | select username,app_status,COUNT(*) AS cn GROUP BY username,app_status order by cn desc limit 10000

    • 查詢終端裝置離線狀態數量

      * AND log_type : client_status_log AND app_status:offline | select username,app_status,COUNT(*) AS cn GROUP BY username,app_status order by cn desc limit 10000

    SASE用戶端登入

    查詢終端裝置登入動作

    * AND log_type : client_logon_log | select username,action,COUNT(*) AS cn GROUP BY username,action order by cn desc limit 10000

    內網訪問

    • 查詢內網訪問內網的裝置和使用者

      * AND log_type : pa_access_log | select username,device_type,COUNT(*) AS cn GROUP BY username,device_type order by cn desc limit 10000

    • 查詢訪問被攔截原因

      * AND log_type : pa_access_log AND action:block | select username,block_info,COUNT(*) AS cn GROUP BY username,block_info order by cn desc limit 10000

    檢測敏感檔案

    查詢敏感檔案匹配的策略次數

    * AND log_type : dlp_log | select username,matched_policy,COUNT(*) AS cn GROUP BY username,matched_policy order by cn desc limit 10000