日志分析功能帮助您采集、存储接入办公安全平台SASE(Secure Access Service Edge)的日志信息,并基于阿里云日志服务,支持查询分析、统计图表、告警服务等功能,帮助您专注于分析,远离琐碎的查询和整理工作。本文介绍如何开通和分析日志。
SASE支持存储的日志类型
内网访问日志
互联网访问日志
客户端登录日志
检测敏感文件外发日志
客户端在线状态日志
前提条件
已开通SASE的日志存储服务。
操作步骤
登录办公安全平台控制台。
在左侧导航栏,选择 。
购买日志存储服务和日志存储容量。
在日志分析页面,单击立即开通。
根据您的业务需要,设置日志存储服务和日志存储容量。单击立即购买,并完成支付。
购买日志分析服务后,日志服务将自动为SASE创建一个专属的日志项目(Project),用于管理SASE的日志数据。您可以在日志服务控制台首页的Project列表查看SASE的专属日志项目。
开启日志采集。
在日志分析页面,设置右上角的日志状态为开启。SASE默认不采集已接入SASE的网站业务的日志数据。只有您为网站域名开启日志采集后,SASE才会采集该网站的日志数据,并将采集到的日志数据存储到日志服务专属日志库中,供您进行查询与分析。
设置查询时间。
单击最近15分钟,设置查询的时间范围。您可以选择相对时间、整点时间和自定义时间范围。
在查询框中输入查询分析语句。
单击查询/分析,查看查询分析结果。
SLS日志功能为您提供日志分布直方图、原始日志、日志聚类和统计图表形式的查询分析结果,并支持设置告警、快速查询、刷新、分享等操作。具体信息,请参见步骤二:查看查询和分析结果。
日志字段说明
字段名称 | 含义及说明 | 示例 |
__time__ | 操作时间。 | 2018-02-27 11:58:15 |
aliuid | 阿里云账号ID。 | 141681795035**** |
username | 企业员工名称。 | 张三 |
department | 企业员工所在的部门名称。 | 测试部门 |
action | 根据您查询的日志类型不同,取值也不同。目前支持该字段的日志类型包含:内网访问日志、客户端登录日志。 在内网访问日志类型中,该字段的取值:
在客户端登录日志类型中,该字段的取值:
| block |
device_type | 终端设备类型。取值:
| Windows |
device_tag | 终端设备标识,唯一值。 | ccabaebc-77b3-a877-23f1-31b89b59**** |
domain | 内网访问的网站域名。 | www.aliyundoc.com |
dst_addr | 内网访问的目的地址。 | 10.2.XX.XX |
dst_port | 内网访问的目的地址端口。 | 80 |
scr_addr | 内网访问的源地址。 | 10.4.XX.XX |
src_port | 内网访问的源地址端口。 | 30001 |
in_bytes | 入方向流量。单位:byte。 | 234 |
out_bytes | 出方向流量。单位:byte。 | 567 |
log_type | 日志类型。取值:
| ia_access_log |
policy_name | 策略名称。 | test |
protocol | 协议。取值:
| tcp |
request_uri | 请求URI。 | /test.php |
app_status | 终端状态。取值:
| 在线 |
event_time | 事件产生时间。使用Unix时间戳格式表示,单位:秒。 | 1675278754 |
unixtime | 事件记录事件。使用Unix时间戳格式表示,单位:秒。 | 1675278754 |
常见日志分析查询语句
SASE客户端在线状态
使用以下查询语句之前,您需要为app_stastus
字段手动添加索引。具体操作,请参见创建索引。
查询终端设备在线状态数量
* AND log_type : client_status_log | select username,app_status,COUNT(*) AS cn GROUP BY username,app_status order by cn desc limit 10000
查询终端设备离线状态数量
* AND log_type : client_status_log AND app_status:offline | select username,app_status,COUNT(*) AS cn GROUP BY username,app_status order by cn desc limit 10000
SASE客户端登录
查询终端设备登录动作
* AND log_type : client_logon_log | select username,action,COUNT(*) AS cn GROUP BY username,action order by cn desc limit 10000
内网访问
查询内网访问内网的设备和用户
* AND log_type : pa_access_log | select username,device_type,COUNT(*) AS cn GROUP BY username,device_type order by cn desc limit 10000
查询访问被拦截原因
* AND log_type : pa_access_log AND action:block | select username,block_info,COUNT(*) AS cn GROUP BY username,block_info order by cn desc limit 10000
检测敏感文件
查询敏感文件匹配的策略次数
* AND log_type : dlp_log | select username,matched_policy,COUNT(*) AS cn GROUP BY username,matched_policy order by cn desc limit 10000