Analisis log dengan log SASE SLS - Secure Access Service Edge

Analisis log mengumpulkan dan menyimpan log dari perangkat yang mengakses Secure Access Service Edge (SASE). Dibangun di atas Alibaba Cloud Simple Log Service (SLS), fitur ini mendukung analisis kueri, grafik statistik, dan pemberitahuan—sehingga Anda dapat menyelidiki aktivitas akses tanpa perlu mengelola data mentah secara manual.

Topik ini menjelaskan cara mengaktifkan penyimpanan log, mengumpulkan log, menjalankan kueri, dan melihat laporan data.

Prasyarat

Layanan penyimpanan log untuk SASE telah diaktifkan.

Aktifkan layanan penyimpanan log

Penyimpanan log adalah layanan berbayar yang harus diaktifkan sebelum Anda dapat mengumpulkan atau menjalankan kueri terhadap log.

Masuk ke Konsol SASE.
Di panel navigasi kiri, pilih Log Analysis > Log Analysis.
Pada halaman Log Analysis, klik Activate Now.
Atur layanan penyimpanan log dan kapasitas penyimpanan sesuai kebutuhan Anda, lalu klik Buy Now dan selesaikan pembayaran.

Setelah diaktifkan, SLS secara otomatis membuat proyek khusus untuk SASE. Untuk melihatnya, buka daftar Project di halaman utama Konsol Simple Log Service.

Aktifkan pengumpulan dan penyimpanan log

Setelah layanan penyimpanan log diaktifkan, aktifkan pengumpulan log untuk penerapan SASE Anda.

Masuk ke Konsol SASE.
Di panel navigasi kiri, pilih Log Analysis > Log Analysis.
Di pojok kanan atas halaman Log Analysis, klik Log Status untuk mengaktifkan pengumpulan dan penyimpanan log.

Tipe log yang didukung

SASE dapat mengumpulkan dan menyimpan tipe log berikut:

Private access log
PA sensitive file audit log
Accelerate log
Client logon log
Client status log
DLP log
Internet access log
Dynamic decision log

Kueri log

Pilih tipe log dan aktifkan log delivery

Di pojok kiri atas halaman Log Analysis, klik daftar drop-down dan pilih tipe log yang ingin Anda lihat. Saring hasilnya dengan menentukan kondisi sesuai kebutuhan.
Klik sakelar di samping tipe log untuk mengaktifkan atau menonaktifkan log delivery untuk tipe tersebut.

Jalankan kueri

Masukkan pernyataan pencarian di kotak pencarian dan atur rentang waktu.

Pernyataan analisis kueri menggabungkan pernyataan pencarian dan pernyataan analitik, dipisahkan oleh tanda pipa vertikal (|):

<Search statement> | <Analytic statement>

Jenis pernyataan	Wajib	Deskripsi
Search statement	Ya	Kondisi filter. Menerima kata kunci, kueri fuzzy, nilai numerik, rentang numerik, atau kombinasinya. Biarkan kosong atau masukkan `*` untuk mengembalikan semua data dalam rentang waktu yang dipilih. Untuk informasi lebih lanjut, lihat Sintaks dan fitur kueri.
Analytic statement	Tidak	Menghitung atau mengagregasi hasil kueri. Jika dihilangkan, hanya entri log yang cocok yang dikembalikan tanpa analisis statistik. Anda dapat menghilangkan klausa `from log` yang biasanya diperlukan dalam SQL standar. Secara default, 100 entri pertama dikembalikan. Gunakan klausa LIMIT untuk mengubah batas ini. Untuk informasi lebih lanjut, lihat Ikhtisar kueri dan analisis.

Klik Search & Analyze untuk menjalankan kueri dan melihat hasilnya.

Hasil ditampilkan sebagai histogram distribusi log dan Raw Logs. Dari halaman hasil, Anda juga dapat mengatur peringatan, membuat pencarian tersimpan, menyegarkan, dan berbagi. Untuk informasi lebih lanjut, lihat Deskripsi halaman Kueri/Analisis.

Contoh kueri umum

Contoh berikut menggunakan operator AND untuk memfilter log berdasarkan tipe dan kondisi. Semua contoh mengembalikan hingga 10.000 hasil, dikelompokkan dan diurutkan berdasarkan jumlah.

Status online client SASE

Sebelum menjalankan kueri ini, tambahkan indeks secara manual untuk bidang app_status. Untuk informasi lebih lanjut, lihat Buat indeks.

Kueri perangkat online:

* AND log_type : client_status_log | select username,app_status,COUNT(*) AS cn GROUP BY username,app_status order by cn desc limit 10000

Kueri perangkat offline:

* AND log_type : client_status_log AND app_status:offline | select username,app_status,COUNT(*) AS cn GROUP BY username,app_status order by cn desc limit 10000

Logon client SASE

Kueri aksi logon berdasarkan pengguna dan perangkat:

* AND log_type : client_logon_log | select username,action,COUNT(*) AS cn GROUP BY username,action order by cn desc limit 10000

Akses intranet

Kueri perangkat dan pengguna yang mengakses intranet:

* AND log_type : pa_access_log | select username,device_type,COUNT(*) AS cn GROUP BY username,device_type order by cn desc limit 10000

Kueri upaya akses yang diblokir dan alasannya:

* AND log_type : pa_access_log AND action:block | select username,block_info,COUNT(*) AS cn GROUP BY username,block_info order by cn desc limit 10000

Deteksi file sensitif

Kueri berapa kali setiap kebijakan file sensitif dicocokkan:

* AND log_type : dlp_log | select username,matched_policy,COUNT(*) AS cn GROUP BY username,matched_policy order by cn desc limit 10000

Lihat laporan data

Laporan data hanya tersedia untuk Internet access log.

Dari daftar drop-down, pilih Internet access log, lalu klik tab Data Report.

Di tab Data Report, jelajahi data log:
- Time Range: Pilih rentang waktu di pojok kanan atas untuk menyaring data laporan.
- Drill Down: Klik di pojok kanan atas laporan. Di kotak dialog Drill Down, lihat data dari berbagai sumber data.

Referensi bidang log

Bidang identitas dan akun

Nama bidang	Deskripsi	Contoh
`__time__`	Waktu operasi.	`2018-02-27 11:58:15`
`aliuid`	ID akun Alibaba Cloud.	`141681795035****`
`username`	Nama karyawan perusahaan.	`John Doe`
`department`	Departemen karyawan perusahaan.	`Test Department`

Bidang perangkat

Nama bidang	Deskripsi	Contoh
`device_type`	Tipe perangkat. Nilai yang valid: `Windows`, `macOS`, `Linux`, `Android`, `iOS`.	`Windows`
`device_tag`	ID unik perangkat.	`ccabaebc-77b3-a877-23f1-31b89b59****`
`app_status`	Status perangkat. Nilai yang valid: `Online`, `Offline`.	`Online`

Bidang akses dan trafik

Nama bidang	Deskripsi	Contoh
`action`	Aksi yang diterapkan pada permintaan. Nilai yang valid bergantung pada tipe log:<br>- Log akses intranet: `allow` (akses diizinkan oleh kebijakan), `block` (akses ditolak oleh kebijakan)<br>- Log logon client: `logon` (perangkat login), `logout` (perangkat logout), `exit` (client SASE ditutup)	`block`
`domain`	Nama domain yang diakses di intranet.	`www.aliyundoc.com`
`dst_addr`	Alamat tujuan untuk akses intranet.	`10.2.XX.XX`
`dst_port`	Port tujuan untuk akses intranet.	`80`
`src_addr`	Alamat sumber untuk akses intranet.	`10.4.XX.XX`
`src_port`	Port sumber untuk akses intranet.	`30001`
`in_bytes`	Volume trafik masuk, dalam byte.	`234`
`out_bytes`	Volume trafik keluar, dalam byte.	`567`
`protocol`	Protokol jaringan. Nilai yang valid: `All`, `tcp`, `udp`.	`tcp`
`request_uri`	URI permintaan.	`/test.php`

Bidang kebijakan dan tipe log

Nama bidang	Deskripsi	Contoh
`log_type`	Tipe log. Nilai yang valid: `pa_access_log` (log akses intranet), `client_logon_log` (log logon client), `dlp_log` (log deteksi eksfiltrasi file sensitif), `client_status_log` (log status client).	`pa_access_log`
`policy_name`	Nama kebijakan yang cocok.	`test`

Bidang timestamp

Nama bidang	Deskripsi	Contoh
`event_time`	Waktu terjadinya event, dalam bentuk Unix timestamp dalam satuan detik.	`1675278754`
`unixtime`	Waktu pencatatan event, dalam bentuk Unix timestamp dalam satuan detik.	`1675278754`