如何使用辦公安全平台SLS日誌進行日誌分析 - Secure Access Service Edge

日誌分析功能協助您採集、儲存接入辦公安全平台SASE（Secure Access Service Edge）的日誌資訊，並基於阿里雲Log Service，支援查詢分析、統計圖表、警示服務等功能，協助您專註於分析，遠離瑣碎的查詢和整理工作。本文介紹如何開通和查看分析日誌。

前提條件

已開通SASE的日誌儲存服務。

如何開通日誌儲存服務

登入辦公安全平台控制台。
在左側導覽列，選擇日誌分析 > SLS日誌。
在日誌分析頁面單擊立即開通。
根據您的業務需要，設定日誌儲存服務和日誌儲存容量。單擊立即購買，並完成支付。
購買日誌分析服務後，Log Service將自動為SASE建立一個專屬的記錄項目（Project），用於管理SASE的日誌資料。您可以在Log Service控制台首頁的Project列表查看SASE的專屬記錄項目。

開啟日誌採集和儲存功能

登入辦公安全平台控制台。
在左側導覽列，選擇日誌分析 > SLS日誌。
在日誌分析頁面右上方，單擊日誌狀態，開啟日誌採集和儲存功能。
SASE支援儲存的日誌類型
- 內網訪問日誌
- PA敏感檔案下載檢測日誌
- 企業加速日誌
- 用戶端登入日誌
- 用戶端狀態日誌
- DLP日誌
- OneData日誌
- 上網行為審計日誌
- 動態決策日誌
- 終端加固日誌
- 主動防禦日誌
- 病毒查殺日誌
- 漏洞修複日誌

查看日誌及開啟日誌投遞

單擊頁面左上方下拉式清單。
選擇需要查看的日誌類型，可按條件式篩選查詢結果。
單擊日誌類型右側的開關按鈕，可以設定該日誌類型的日誌投遞啟停狀態。

在輸入框中輸入查詢語句，並設定查詢時間。

查詢分析語句由查詢語句和分析語句兩個部分組成，通過豎線（|）進行分隔，格式：查詢語句|分析語句。

語句類型

是否可選

說明

查詢語句

必選

查詢條件，可以為查詢關鍵詞、模糊查詢、數值、數值範圍和組合條件。

如果為空白或星號（*），表示針對目前時間段所有資料不設定任何過濾條件，即返回所有資料。更多資訊，請參見查詢文法與功能。

分析語句

可選

對查詢結果或全量資料進行計算和統計。

如果為空白，表示只返回查詢結果，不做統計分析。更多資訊，請參見查詢與分析概述。

說明

分析語句中可以省略SQL標準文法中的from 表格名語句，即from log。
日誌資料預設返回前100條，您可以通過LIMIT子句修改返回範圍。

常見日誌分析查詢語句

SASE用戶端線上狀態

使用以下查詢語句之前，您需要為app_stastus欄位手動添加索引。具體操作，請參見建立索引。

查詢終端裝置線上狀態數量

* AND log_type : client_status_log | select username,app_status,COUNT(*) AS cn GROUP BY username,app_status order by cn desc limit 10000

查詢終端裝置離線狀態數量

* AND log_type : client_status_log AND app_status:offline | select username,app_status,COUNT(*) AS cn GROUP BY username,app_status order by cn desc limit 10000

SASE用戶端登入

查詢終端裝置登入動作

* AND log_type : client_logon_log | select username,action,COUNT(*) AS cn GROUP BY username,action order by cn desc limit 10000

內網訪問

查詢內網訪問內網的裝置和使用者

* AND log_type : pa_access_log | select username,device_type,COUNT(*) AS cn GROUP BY username,device_type order by cn desc limit 10000

查詢訪問被攔截原因

* AND log_type : pa_access_log AND action:block | select username,block_info,COUNT(*) AS cn GROUP BY username,block_info order by cn desc limit 10000

檢測敏感檔案

查詢敏感檔案匹配的策略次數

* AND log_type : dlp_log | select username,matched_policy,COUNT(*) AS cn GROUP BY username,matched_policy order by cn desc limit 10000

單擊查詢/分析，查看分析結果。
SLS日誌功能為您提供日誌分布長條圖、原始日誌等形式的查詢分析結果，並支援設定警示、快速查詢、重新整理、分享等操作。具體資訊，請參見查詢/分析頁面說明。

查看資料報表

OneData日誌和上網行為審計日誌支援查看数据报表。

在下拉式清單中切換到OneData日誌或上網行為審計日誌，然後單擊数据报表頁簽。
在数据报表頁簽中分別查看日誌相關資料情況。
- 時間選擇：單擊列表右上方的時間範圍，按照時間範圍展示報表資料。
- 下鑽分析：單擊報表右上方的，在下鑽分析彈窗中查看不同資料來源的資料資訊。

日誌欄位說明

欄位名稱	含義及說明	樣本
__time__	操作時間。	2018-02-27 11:58:15
aliuid	阿里雲帳號ID。	141681795035****
username	企業員工名稱。	張三
department	企業員工所在的部門名稱。	測試部門
action	根據您查詢的日誌類型不同，取值也不同。目前支援該欄位的日誌類型包含：內網訪問日誌、用戶端登入日誌。在內網訪問日誌類型中，該欄位的取值： allow：表示當前策略是允許使用者或者終端訪問指定應用。 block：表示當前策略是拒絕使用者或者終端訪問指定應用。在用戶端登入日誌類型中，該欄位的取值： logon：表示當前終端裝置登入SASE用戶端。 logout：表示當前終端裝置登出SASE用戶端。 exit：表示當前用戶端退出SASE用戶端。	block
device_type	終端裝置類型。取值： Windows macOS Linux Android iOS	Windows
device_tag	終端裝置標識，唯一值。	ccabaebc-77b3-a877-23f1-31b89b59****
domain	內網訪問的網站網域名稱。	www.aliyundoc.com
dst_addr	內網訪問的目的地址。	10.2.XX.XX
dst_port	內網訪問的目的地址連接埠。	80
scr_addr	內網訪問的源地址。	10.4.XX.XX
src_port	內網訪問的源地址連接埠。	30001
in_bytes	入方向流量。單位：byte。	234
out_bytes	出方向流量。單位：byte。	567
log_type	日誌類型。取值： pa_access_log：內網訪問日誌 client_logon_log：用戶端登入日誌 dlp_log：檢測敏感檔案外發日誌 client_status_log：用戶端線上狀態日誌	ia_access_log
policy_name	策略名稱稱。	test
protocol	協議。取值：全部 tcp udp	tcp
request_uri	請求URI。	/test.php
app_status	終端狀態。取值：線上離線	線上
event_time	事件產生時間。使用Unix時間戳記格式表示，單位：秒。	1675278754
unixtime	事件記錄事件。使用Unix時間戳記格式表示，單位：秒。	1675278754