Pemecahan masalah pengecualian lalu lintas dengan menanyakan dan menganalisis log - Cloud Firewall

Anda dapat memantau aktivitas jaringan serta mengidentifikasi pengecualian lalu lintas dengan menanyakan dan menganalisis data log yang dikumpulkan secara real-time. Hal ini meningkatkan kemampuan pemantauan keamanan dan efisiensi respons terhadap insiden keamanan. Topik ini menjelaskan cara menggunakan pernyataan kueri serta cara melihat dan menganalisis hasil kueri.

Deskripsi Pernyataan

Pernyataan pencarian dan analitik

Pernyataan kueri analisis log terdiri dari pernyataan pencarian dan pernyataan analitik yang dipisahkan oleh tanda vertikal (|).

Pernyataan pencarian|Pernyataan analitik

Pernyataan pencarian menggunakan sintaksis spesifik Layanan Log Sederhana. Pernyataan ini digunakan untuk menanyakan log yang memenuhi kondisi pencarian tertentu dan dapat digunakan secara mandiri. Pernyataan pencarian dapat mencakup kata kunci, nilai numerik, rentang numerik, spasi, dan asterisk (*). Jika pernyataan pencarian hanya berisi spasi atau asterisk (*), semua log akan di-query.
Pencarian diklasifikasikan menjadi pencarian teks penuh dan pencarian berdasarkan bidang sesuai dengan metode indeks. Untuk informasi lebih lanjut, lihat Sintaksis pencarian dan fungsi.
Pencarian teks penuh
Anda dapat memasukkan kata kunci untuk menanyakan log. Anda juga dapat menyertakan kata kunci dalam sepasang tanda kutip ganda ("") untuk menanyakan log yang mengandung kata kunci tersebut. Jika Anda memasukkan beberapa kata kunci, Anda dapat memisahkannya dengan spasi atau dan. Dengan cara ini, Anda dapat menanyakan log yang mengandung kata kunci tersebut.
- Query logs based on multiple keywords
  Anda dapat menanyakan log yang mengandung www.aliyun.com dan pass.
```
www.aliyun.com pass
```
  atau
```
www.aliyun.com and pass
```
- Query logs based on a condition
  Anda dapat menanyakan log yang mengandung www.aliyun.com dan mengandung pass atau tcp.
```
www.aliyun.com and (pass or tcp)
```
- Query logs based on a prefix
  Anda dapat menanyakan log yang mengandung www.aliyun.com dan dimulai dengan tcp_.
```
www.aliyun.com and tcp_*
```
  Catatan
  Asterisk (*) hanya dapat ditambahkan sebagai akhiran. Asterisk (*) tidak dapat ditambahkan sebagai awalan. Sebagai contoh, *_not_establish tidak didukung.
Pencarian berdasarkan bidang
Anda dapat menanyakan log berdasarkan bidang dan nilai bidang. Bidang numerik dapat ditentukan dalam format Nama Bidang: Nilai atau Nama Bidang >= Nilai. Perbandingan dilakukan untuk menanyakan log. Operator seperti dan dan atau dapat digunakan untuk menentukan kombinasi bidang. Pencarian berdasarkan bidang juga dapat digunakan bersamaan dengan pencarian teks penuh.
Untuk informasi lebih lanjut tentang bidang log analisis log yang mendukung indeks, lihat Bidang yang mendukung indeks.
- Query logs based on multiple fields
  Anda dapat menggunakan kondisi berikut untuk menanyakan log pada permintaan akses dari 192.XX.XX.22 ke 192.XX.XX.54:
```
src_ip: 192.XX.XX.22 and dst_ip: 192.XX.XX.54
```
- Query logs based on field existence
  - Anda dapat menanyakan log yang mengandung bidang cloud_instance_id.
    cloud_instance_id: *
  - Anda dapat menanyakan log yang tidak mengandung bidang cloud_instance_id.
    not cloud_instance_id: *
Pernyataan analitik digunakan untuk menganalisis data dalam hasil pencarian dan menganalisis semua data dalam Logstore. Pernyataan analitik harus dieksekusi bersamaan dengan pernyataan pencarian. Jika tidak ada pernyataan analitik yang ditentukan, hanya hasil kueri yang dikembalikan tanpa analisis data. Untuk informasi lebih lanjut tentang sintaksis dan fungsi pernyataan analitik, lihat Ikhtisar kueri dan analisis log.

Pernyataan kueri umum

Bagian ini menjelaskan pernyataan kueri umum untuk log Cloud Firewall beserta contohnya.

Pernyataan kueri untuk statistik lalu lintas

Tanyakan log lalu lintas arah masuk ke aset internal 1.2.*.* melalui Internet, serta hitung total volume lalu lintas arah masuk dan jumlah total paket arah masuk.
```
log_type:internet_log and direction:"in" and dst_ip:1.2.*.* | select sum(in_packet_bytes) as flow, sum(in_packet_count) as packet
```

Tanyakan statistik lalu lintas pada firewall NAT, serta analisis 10 besar volume lalu lintas arah masuk dan arah keluar aset berdasarkan alamat IP sumber, alamat IP tujuan, dan port tujuan.

log_type:nat_firewall_log | select src_ip, dst_ip, dst_port, sum(in_packet_bytes) as in_bytes, sum(out_packet_bytes) as out_bytes, sum(total_packet_bytes) as total_bytes group by src_ip, dst_ip, dst_port order by total_bytes desc limit 10

Pernyataan umum untuk kontrol akses

Tanyakan log lalu lintas arah masuk yang diinisiasi ke aset internal melalui Internet dan mencocokkan kebijakan kontrol akses.
```
log_type:internet_log and direction:"in" and not acl_rule_id:00000000-0000-0000-0000-000000000000
```
Jika semua digit dalam nilai bidang not acl_rule_id adalah 0, kebijakan kontrol akses dicocokkan. Jika tidak, tidak ada kebijakan kontrol akses yang dicocokkan.

Tanyakan log lalu lintas arah keluar yang diinisiasi dari aset internal melalui Internet dan diblokir oleh kebijakan kontrol akses, serta analisis distribusi 10 besar alamat IP tujuan dan port tujuan.

log_type:internet_log and direction:out and not acl_rule_id:00000000-0000-0000-0000-000000000000 and rule_result:drop | select dst_ip, dst_port, count(*) as cnt group by dst_ip, dst_port order by cnt desc limit 10

Tanyakan log lalu lintas arah keluar yang diinisiasi dari aset internal melalui Internet, menggunakan port tujuan 443, lebih dari tiga paket, dan nama domain yang tidak dikenali. Jika jumlah paket lebih besar dari 3, jabat tangan tiga arah TCP selesai. Kemudian, analisis 10 besar alamat IP sumber, alamat IP tujuan, dan aplikasi berdasarkan blok CIDR tujuan dan nama aplikasi.
```
log_type:internet_log and direction:out and dst_port:443 and total_packet_count>3 and domain:""| select array_agg(distinct src_ip) as srcip, array_agg(distinct dst_ip) as dstip, slice(split(dst_ip,'.' ,4),1,3) as dstip_c, app_name, COUNT(1) as cnt GROUP by dstip_c,app_name order by cnt desc limit 10
```

Pernyataan umum untuk pencegahan serangan

Tanyakan log lalu lintas arah masuk yang diinisiasi ke aset internal melalui Internet dan mencocokkan kebijakan perlindungan.
```
log_type:internet_log and direction:"in" and not ips_rule_id:00000000-0000-0000-0000-000000000000
```
Jika semua digit dalam nilai bidang not ips_rule_id adalah 0, kebijakan perlindungan dicocokkan. Jika tidak, tidak ada kebijakan perlindungan yang dicocokkan.
Tanyakan log lalu lintas arah keluar yang diinisiasi dari aset internal melalui Internet dan mencocokkan kebijakan perlindungan. Kemudian, dapatkan informasi tentang alamat IP, port, aplikasi, nama domain, kebijakan Sistem Pencegahan Intrusi (IPS), dan hasil pencocokan kebijakan.
```
log_type:internet_log and direction:out and not ips_rule_id:00000000-0000-0000-0000-000000000000 | select src_ip, dst_ip, dst_port,app_name, domain,ips_rule_id, ips_rule_name, rule_result
```

Prosedur

Masuk ke Konsol Cloud Firewall.
Di panel navigasi di sebelah kiri, pilih Log Monitoring > Log Analysis. Di halaman Analisis Log, klik tab Logs.
Klik ikon di sudut kanan atas halaman Analisis Log. Di tab Query, nonaktifkan fitur atau tentukan rentang waktu kueri. Secara default, ketika Anda membuka tab Logs, sistem secara otomatis melakukan kueri log dan menampilkan hasil kueri.
Masukkan pernyataan kueri di kotak pencarian.
- Pernyataan pencarian digunakan untuk melihat, mencari, dan menyaring log. Pernyataan pencarian hanya mendukung kueri sederhana. Anda dapat menggunakan pernyataan pencarian untuk mencari dataset tertentu menggunakan kondisi seperti rentang waktu, jenis kueri, dan kata kunci. Pernyataan pencarian dapat digunakan secara mandiri. Untuk informasi lebih lanjut, lihat Sintaksis pencarian dan fungsi.
- Pernyataan analitik digunakan untuk menyaring, mengubah, menghitung, dan menggabungkan log. Sebagai contoh, Anda dapat menggunakan pernyataan analitik untuk menghitung nilai rata-rata dalam periode waktu tertentu atau membandingkan data dalam periode waktu yang berbeda. Pernyataan analitik harus digunakan bersamaan dengan pernyataan pencarian dalam format Pernyataan pencarian|Pernyataan analitik. Untuk informasi lebih lanjut tentang sintaksis, lihat Fungsi agregasi.
Klik Cari & Analisis untuk melihat hasil kueri dan analisis. Untuk informasi lebih lanjut, lihat Menanyakan dan Menganalisis Log.

Lihat hasil kueri dan analisis

Anda dapat melihat hasil kueri dan analisis berdasarkan data yang ditampilkan di modul seperti histogram atau tab Log Mentah.

Catatan

Jika Anda tidak menentukan klausa LIMIT dalam pernyataan analitik, 100 baris data dikembalikan. Jika Anda ingin mendapatkan lebih banyak data, tentukan klausa LIMIT.
Berikut ini menjelaskan cara melihat data yang ditampilkan di histogram dan tab Log Mentah. Untuk informasi lebih lanjut tentang modul lainnya, lihat Panduan kueri dan analisis log.

Histogram

Histogram menampilkan distribusi log yang di-query selama periode waktu.

Ketika Anda mengarahkan pointer ke persegi panjang hijau, Anda dapat melihat periode waktu yang diwakili oleh persegi panjang dan jumlah log yang dikembalikan dalam periode waktu tersebut.
Jika Anda mengklik dua kali persegi panjang hijau, Anda dapat melihat distribusi log pada tingkat granular yang lebih halus. Anda juga dapat melihat log yang dikembalikan dalam periode waktu yang ditentukan di tab Raw Logs.

Tab Log Mentah

Tab Log Mentah menampilkan hasil kueri dan analisis log.

Bagian	Deskripsi
1	Ganti format tampilan log dan urutan waktu dalam log disortir.
2	Klik ikon untuk mengunduh log ke komputer Anda atau melihat catatan unduhan log. Untuk informasi lebih lanjut, lihat Ekspor log.
3	Klik ikon dan kemudian klik Konfigurasi JSON untuk mengonfigurasi tipe tampilan data JSON dan level ekspansi JSON. Klik ikon dan pilih Pengaturan Acara. Ini memungkinkan Anda mengonfigurasi acara drill-down untuk log mentah. Dengan cara ini, Anda dapat memvisualisasikan dan mengelola log mentah secara efisien. Untuk informasi lebih lanjut, lihat Pengaturan acara.
4	Lihat bidang tampilan log, indeks log, dan bidang sistem. Di bagian Bidang Indeks, klik ikon di sebelah bidang untuk menambahkan bidang ke bagian Bidang yang Ditampilkan. Dengan cara ini, bidang ditampilkan di log di sebelah kanan. Di bagian Bidang yang Ditampilkan, klik ikon di sebelah bidang untuk menghapus bidang dari bagian Bidang yang Ditampilkan. Dengan cara ini, bidang tidak lagi ditampilkan di log di sebelah kanan. Catatan Jika tidak ada bidang yang ditambahkan ke bagian Bidang yang Ditampilkan, bidang default ditampilkan di log di sebelah kanan. Klik ikon di sebelah bidang untuk melihat informasi tentang bidang, seperti Basic Distribution dan Statistical Metrics. Untuk informasi lebih lanjut, lihat Analisis cepat.
5	Setelah Anda menentukan Bidang yang Ditampilkan, klik ikon untuk menambahkan tampilan ke favorit. Kemudian, Anda dapat mengubah tampilan dengan cara yang nyaman. Klik ikon dan kemudian klik Pengaturan Tag untuk menambahkan bidang sebagai tag sistem. Tag sistem ditampilkan di atas log di sebelah kanan. Contoh: . Klik ikon untuk mengaktifkan Alias. Setelah Anda mengaktifkan Alias, nama bidang diganti dengan alias. Jika tidak ada alias yang ditentukan untuk bidang, nama bidang ditampilkan. Untuk informasi lebih lanjut tentang cara menentukan alias bidang, lihat Buat indeks.
6	Lihat detail log. Untuk informasi lebih lanjut tentang bidang log, lihat Bidang log. Klik ikon untuk menyalin isi log. Klik ikon untuk memanggil copilot Layanan Log Sederhana untuk merangkum informasi dan menanyakan informasi kesalahan berdasarkan isi log. Klik ikon untuk melihat detail tag.

Apa yang harus dilakukan selanjutnya

Anda dapat melihat bidang log dan bidang yang mendukung indeks. Untuk informasi lebih lanjut, lihat Bidang log.
Anda dapat mengunduh hasil kueri dan analisis log ke komputer Anda atau mengirim log ke bucket Object Storage Service (OSS) untuk penyimpanan. Untuk informasi lebih lanjut, lihat Ekspor log.
Anda dapat menggunakan laporan log untuk melihat statistik seperti metrik perlindungan dasar Cloud Firewall, distribusi lalu lintas arah masuk dan arah keluar, serta stabilitas sistem. Untuk informasi lebih lanjut, lihat Lihat laporan log.
Mengapa log lalu lintas mencatat lalu lintas dengan tipe aplikasi Tidak Dikenal?
Mengapa log lalu lintas deteksi ICMP secara berkala dikirim oleh Cloud Firewall?