ログ分析機能は、Secure Access Service Edge (SASE) にアクセスするデバイスからログを収集し、保存するのに役立ちます。Simple Log Service を利用したこの機能は、クエリ、分析、統計チャート、アラート機能をサポートしています。これにより、データ管理ではなく分析に集中できます。このトピックでは、分析ログを有効にして表示する方法について説明します。
前提条件
SASE のログストレージサービスが有効化されています。
ログストレージサービスの有効化
ログ収集とストレージの有効化
-
SASE コンソールにログインします。
-
左側のナビゲーションウィンドウで、 を選択します。
-
Log Analysis ページの右上隅にある Log Status をクリックして、ログの収集とストレージを有効にします。
SASE ログタイプ
ログの表示とログ配信の有効化
-
ページの左上隅にあるドロップダウンリストをクリックします。
-
表示したいログタイプを選択します。条件を指定してクエリ結果をフィルタリングできます。
-
ログタイプの横にあるスイッチをクリックして、そのログタイプのログ配信を有効または無効にします。
サポートされているログタイプには、プライベートアクセスログ、PA 機密ファイルのダウンロード検出ログ、エンタープライズアクセラレーションログ、クライアントログインログ、クライアントステータスログ、DLP ログ、OneData ログ、インターネットアクセスログ があります。
-
ページ上部の検索ボックスに検索文を入力します。検索ボックスの右側にあるタイムピッカーで、クエリの時間範囲を設定します。
クエリは、検索文とオプションの分析文で構成され、縦棒 (|) で区切られます。フォーマットは
検索文|分析文です。文の種類
オプション
説明
検索文
必須
検索条件を指定します。キーワード、あいまい検索、数値、数値範囲、または条件の組み合わせが可能です。
これを空にするか、アスタリスク (*) を入力すると、指定した時間範囲内のすべてのデータが返されます。詳細については、「クエリ構文と特徴」をご参照ください。
分析文
オプション
検索文によって返されたデータを処理し、計算と集約を行います。
これを空にすると、クエリ結果のみが返され、統計分析は実行されません。詳細については、「クエリと分析の概要」をご参照ください。
説明-
分析文では、標準 SQL 句
from table_name(この場合はfrom log) を省略できます。 -
デフォルトでは、最初の 100 件のログエントリが返されます。LIMIT 句 を使用して、返されるエントリの数を変更できます。
ログ分析クエリ
-
-
[検索と分析] をクリックして分析結果を表示します。
SLS ログ機能は、ログ分布ヒストグラムや [生ログ] などの形式でクエリと分析の結果を提供します。また、アラートの設定、クイック検索の作成、更新、共有などの操作もサポートしています。詳細については、「「検索と分析」ページの説明」をご参照ください。
データレポートの表示
[OneData ログ] と [インターネットアクセスログ] の Data Report を表示できます。
-
ドロップダウンリストから [OneData ログ] または [インターネットアクセスログ] を選択し、Data Report タブをクリックします。
-
Data Report タブで、ログ関連のデータを表示します。
-
[時間範囲]:右上隅で時間範囲をクリックして、レポートの期間を指定します。
-
[ドリルダウン分析]:レポートの右上隅にある
アイコンをクリックします。[ドリルダウン分析] ダイアログボックスで、さまざまなデータソースのデータを表示できます。ダイアログボックスの左上隅で、[データソースタイプ] ドロップダウンリストから Prometheus を選択し、時間範囲を設定し、メトリクスクエリ条件 ([メトリクスエクスプローラー]、[リージョン]、[インスタンス] を含む) を設定してから、[クエリの実行] をクリックします。右側では、テーブル、線、棒、統計、円、ゲージ、メーターなどの可視化タイプを切り替えることができます。
-
ログフィールド
|
フィールド名 |
説明 |
例 |
|
__time__ |
Simple Log Service がログを受信した時間。 |
2018-02-27 11:58:15 |
|
aliuid |
Alibaba Cloud アカウント ID。 |
141681795035**** |
|
username |
従業員のユーザー名。 |
田中太郎 |
|
department |
企業の従業員の部署。 |
テスト部署 |
|
action |
このフィールドの値はログタイプによって異なります。このフィールドは
|
block |
|
device_type |
エンドポイントデバイスタイプ。有効な値:
|
Windows |
|
device_tag |
デバイスの一意の識別子。 |
ccabaebc-77b3-a877-23f1-31b89b59**** |
|
domain |
プライベートネットワークでアクセスされたウェブサイトのドメイン名。 |
www.aliyundoc.com |
|
dst_addr |
非公開アクセス用の送信先アドレス。 |
10.2.XX.XX |
|
dst_port |
非公開アクセス用の宛先ポート。 |
80 |
|
src_addr |
非公開アクセス用のソースアドレス |
10.4.XX.XX |
|
src_port |
非公開アクセス用の送信元ポート。 |
30001 |
|
in_bytes |
インバウンドトラフィック。単位:バイト。 |
234 |
|
out_bytes |
アウトバウンドトラフィック。単位:バイト。 |
567 |
|
log_type |
ログタイプ。例:
|
ia_access_log |
|
policy_name |
ポリシー名。 |
test |
|
protocol |
プロトコル。有効な値:
|
tcp |
|
request_uri |
リクエスト URI。 |
/test.php |
|
app_status |
クライアントステータス。有効な値:
|
Online |
|
event_time |
イベントが発生した時間。この値は UNIX タイムスタンプです。単位:秒。 |
1675278754 |
|
unixtime |
イベントが記録された時間。この値は UNIX タイムスタンプです。単位:秒。 |
1675278754 |