安全審計、威脅溯源和應急響應高度依賴對各類日誌的集中管理與有效分析。日誌分析功能可集中採集主機日誌(如登入、進程、網路連接)和Security Center的安全日誌(如警示、漏洞、基準檢查),解決日誌分散、查詢困難、無法關聯分析的問題,以快速洞察安全事件,滿足合規審計要求。
查看日誌報表
Security Center日誌分析功能開通後,系統會自動建立報表儀錶盤,集中展示主機日誌、安全日誌相關資料。
適用範圍
支援的報表類型如下表所示,報表詳細內容請參見附錄:日誌報表詳情。
日誌類型 | 日誌報表 | 描述 |
主機日誌 | 登入中心 | 分析伺服器登入活動,排查異常登入。 |
進程中心 | 審計伺服器上的進程啟動情況,發現異常程式。 | |
網路連接中心 | 監控網路連接,識別可疑的外聯或入站流量。 | |
安全日誌 | 基準中心 | 瞭解資產的配置風險分布和修複趨勢。 |
漏洞中心 | 掌握資產的漏洞分布、類型和修複狀態。 | |
警示中心 | 概覽所有安全事件的警示層級、類型和處理狀態。 |
操作步驟
登入控制台
訪問Security Center控制台-風險治理-日誌分析,在頁面左側頂部,選擇需防護資產所在的地區:中國內地或非中國內地。
開啟日誌投遞
在日誌分析頁面,開啟啟用開關。
單擊任一報表頁簽,進入對應日誌報表頁簽,查看該日誌報表儀錶盤。
設定查詢時間
單擊對應報表頁簽右上方的時間選擇,開啟時間設定對話方塊,設定日誌查詢時間。
說明時間選取器僅在當前頁面臨時生效,系統不儲存該設定。下次重新開啟該報表頁面時,儀錶盤將恢複到預設時間範圍。
設定重新整理頻率(可選)
單擊對應報表頁簽中右上方的重新整理,設定日誌報表的重新整理頻率。
僅一次:立即重新整理。
自動重新整理:設定重新整理頻率。每15秒、60秒、5分鐘或15分鐘重新整理一次。
匯出日誌
在左側導覽列,選擇。在控制台左上方,選擇需防護資產所在的地區:中國內地或非中國內地。
在左上方下拉框中選擇日誌類型,並根據需要查詢需要的日誌。查詢日誌的具體操作,請參見自訂日誌查詢與分析。
在原始日誌頁簽的日誌列表上方,單擊
表徵圖後選擇下載日誌。在日誌下載對話方塊,配置相關資訊後單擊確認。
重要普通查詢語句日誌最多可下載2,000萬條。
時間範圍(唯讀)匯出任務覆蓋的日誌時間段。
查詢語句:(唯讀)匯出任務使用的查詢語句。
任務名:自訂任務名稱,便於識別。
日誌數量:匯出全部(上限2000萬條)或自訂數量。
資料格式:可選
CSV(通用表格)或json(結構化資料)。quote字元:僅用於CSV格式,用引號包裹欄位內容,防止錯亂。可選:
"或'。允許下載不精確結果:處理估算查詢時使用。
是:速度快,結果可能為近似值。
否:結果精確,但耗時間長度或可能失敗。
壓縮方式:匯出檔案的壓縮格式,可選:不壓縮、
gzip、zstd。定序:按時間排序方式,可選:升序(asc)或降序(desc)。
下載檔案
在原始日誌頁簽的日誌列表上方,單擊
表徵圖後選擇下載歷史。在下載歷史對話方塊,查看匯出任務狀態。任務狀態為任務成功時,單擊下載。
也可前往Log Service(SLS)控制台,擷取更多下載方式(如CloudShell下載、命令列下載),具體操作步驟請參見下載日誌。
Log Service進階管理
Security Center日誌分析服務提供Log Service進階管理功能,可通過Log Service進階管理功能跳轉到Log Service頁面,執行設定警示與通知方式、即時訂閱與消費、資料投遞等操作。
訪問Security Center控制台-風險治理-日誌分析,在頁面左側頂部,選擇需防護資產所在的地區:中國內地或非中國內地。
單擊日誌分析頁面右上方的Log Service進階管理。
跳轉至Log Service管理主控台,執行更多操作。相關步驟請參見設定警示、通知方式、資料投遞。
說明Log Service還提供了API方式實現寫入、查詢日誌資料、管理專案及日誌庫等功能。詳細內容,請參見Log ServiceAPI,
附錄:日誌報表詳情
主機日誌
登入中心
圖表名稱 | 圖表類型 | 預設時間範圍 | 描述 | 範例 |
登入次數 | 單值比較 | 1小時(相對)/同比昨日 | 總的登入總數,以及與昨日同時段相比的百分比增減情況。 | 10.0次,10% |
被登入裝置數 | 單值比較 | 今天(整點時間)/同比昨日 | 被登入的外掛式主控件裝置的個數,以及與昨日全天相比增加或減少的情況。 | 10個,-10% |
獨立登入源IP數 | 單值比較 | 今天(整點時間)/同比昨日 | 登入裝置的獨立源IP個數,以及與昨日全天相比增加或減少的情況。 | 10個,10% |
獨立登入使用者名稱數 | 單值比較 | 今天(整點時間)/同比昨日 | 登入裝置的獨立使用者名稱的個數,以及與昨日全天相比增加或減少的情況。 | 10個,10% |
終端登入監控趨勢 | 柱狀圖與線圖 | 今天(整點時間) | 每小時的發生登入事件的裝置以及登入次數的趨勢圖。 | 無 |
登入方式趨勢 | 流圖 | 今天(整點時間) | 每小時的登入方式(RDP、SSH等)的趨勢圖,單位為次/小時。 | 無 |
登入方式分布 | 餅圖 | 4小時(相對) | 登入方式(RDP、SSH等)的趨勢圖的分布。 | 無 |
裝置分布 | 地圖(全球) | 4小時(相對) | 有外網地址的裝置上發生登入的裝置數的地理分布。 | 無 |
登入來源分布 | 地圖(全球) | 4小時(相對) | 有外網地址的裝置上登入來源的登入數地理分布。 | 無 |
獨立登入源分布 | 地圖(全球) | 4小時(相對) | 有外網地址的裝置上獨立登入來源數的地理分布。 | 無 |
登入最多的10個使用者 | 餅圖 | 4小時(相對) | 登入次數排名前10的使用者名稱。 | 無 |
登入最多的10個連接埠 | 餅圖 | 4小時(相對) | 登入次數排名前10的目標連接埠。 | 無 |
登入機器最多30個使用者和來源 | 表格 | 4小時(相對) | 登入機器次數排名前30的使用者和來源,包括來源網路、登入IP、使用者名稱、登入方式、登入的獨立裝置數以及次數等。 | 無 |
進程中心
圖表名稱 | 圖表類型 | 預設時間範圍 | 描述 | 範例 |
進程啟動次數 | 單值比較 | 1小時(相對)/同比昨日 | 進程啟動事件總數,以及與昨日同時段相比的百分比增加或減少狀況。 | 10.0千個,0.01% |
相關裝置數 | 單值比較 | 今天(整點時間)/同比昨日 | 發生進程啟動事件的外掛式主控件裝置的個數,以及與昨日全天相比增加或減少的情況。 | 10.0個,0.01% |
獨立啟動進程名數 | 單值比較 | 今天(整點時間)/同比昨日 | 啟動的獨立進程名的個數,以及與昨日全天相比增加或減少的情況。 | 10.0個,0.01% |
終端裝置數 | 柱狀圖與線圖 | 今天(整點時間) | 每小時的發生進程啟動的裝置以及獨立進程名個數的趨勢圖,單位為個/小時。 | 無 |
進程啟動趨勢 | 線圖 | 今天(整點時間) | 每小時的每台裝置平均啟動進程數,單位為個/小時。 | 無 |
外網裝置分布 | 地圖(全球) | 今天(整點時間) | 發生進程啟動的有外網地址的裝置數的地理分布。 | 無 |
外網裝置上進程啟動次數分布 | 地圖(全球) | 今天(整點時間) | 有外網地址的裝置上發生的進程事件數目的地理分布。 | 無 |
啟動次數最多的20個進程 | 表格 | 今天(整點時間) | 啟動次數排名前20的進程,包括進程名、進程路徑、啟動次數等。 | 無 |
觸發Bash最多的前20個進程 | 表格 | 今天(整點時間) | 觸發Bash排名前20的進程,包括父進程名、觸發總數等。 | 無 |
啟動進程最多的前30個Java檔案 | 表格 | 今天(整點時間) | 啟動進程次數排名前30的Java檔案,包括Jar檔案名稱、Jar檔案路徑、總的啟動次數等。 | 無 |
啟動進程最多的前30個用戶端 | 表格 | 今天(整點時間) | 啟動進程次數排名前30的用戶端,包括用戶端、總的啟動次數、這個用戶端上啟動次數最多的命令列、對應進程名、次數和佔比等。 | 無 |
網路連接中心
圖表名稱 | 圖表類型 | 預設時間範圍 | 描述 | 範例 |
串連事件數目 | 單值比較 | 1小時(相對)/同比昨日 | 裝置上網路連接的變化事件總數,以及與昨日同時段相比的百分比增減少狀況。 | 10.0個,-0.01% |
相關裝置數 | 單值比較 | 今天(整點時間)/環比昨日 | 發生串連變化事件的外掛式主控件裝置的個數,以及與昨日全天相比增加或減少的情況。 | 10.0個,0.01% |
獨立進程數 | 單值比較 | 今天(整點時間)/同比昨日 | 發生網路連接的變化事件獨立進程名數,以及與昨日全天相比增加或減少的情況。 | 10.0個,0.01% |
獨立源IP數 | 單值比較 | 今天(整點時間)/同比昨日 | 發生網路連接的變化事件的獨立串連源IP的個數,以及與昨日全天相比增加或減少的情況。 | 10.0個,0.01% |
獨立目標IP數 | 單值比較 | 今天(整點時間)/同比昨日 | 發生網路連接的變化事件的獨立串連目標IP的個數,以及與昨日全天相比增加或減少的情況。 | 1.0千個,0.01% |
網路連接趨勢 | 雙線圖 | 1小時(相對) | 每小時發生網路連接的裝置數以及事件數目的趨勢圖,單位為個/每小時。 | 無 |
連線類型趨勢 | 雙線圖 | 1小時(相對) | 每小時發生網路連接變化事件的連線類型(對外、接收)分布的趨勢圖,單位為個/每小時。 | 無 |
連線類型分布 | 餅圖 | 1小時(相對) | 網路連接變化事件的連線類型(對外、接收)的分布。 | 無 |
協議類型分布 | 餅圖 | 1小時(相對) | 網路連接變化事件的連線協定(TCP、UDP等)的分布。 | 無 |
外網裝置分布 | 地圖(全球) | 1小時(相對) | 發生網路連接變化事件的裝置數的地理分布。 | 無 |
外網裝置事件分布 | 地圖(全球) | 1小時(相對) | 發生有外網地址的裝置上網路連接變化事件數目的地理分布。 | 無 |
對外串連目標分布 | 地圖(全球) | 1小時(相對) | 網路連接變化事件的對外串連的目標的地理分布。 | 無 |
接收串連源分布 | 地圖(全球) | 1小時(相對) | 網路連接變化事件的接收串連的源目標的地理分布。 | 無 |
對外串連最多的30個裝置 | 表格 | 1小時(相對) | 發生對外連線類型的網路連接變化事件排名前30的裝置,包括裝置、對外串連事件數目、獨立的串連目標數以及範例。 | 無 |
接收串連最多的30個裝置 | 表格 | 1小時(相對) | 發生接收連線類型的網路連接變化事件排名前30的裝置,包括裝置、偵聽IP、接收串連事件數目、偵聽連接埠數以及範例。 | 無 |
對外串連目標最多的30個裝置 | 表格 | 1小時(相對) | 發生對外連線類型的網路連接變化事件目標排名前30的裝置,包括裝置、對外串連事件數目、獨立的串連目標數以及範例。 | 無 |
接收串連最多的30個偵聽連接埠 | 表格 | 1小時(相對) | 發生接收連線類型的網路連接變化事件排名前30的偵聽連接埠,包括偵聽連接埠、接收串連事件數目以及範例。 | 無 |
對外串連最多的30個進程 | 表格 | 1小時(相對) | 發生對外連線類型的網路連接變化事件排名前30的進程,包括進程名、對外串連事件數目、相關裝置數以及路徑範例。 | 無 |
接收串連最多的30個進程 | 表格 | 1小時(相對) | 發生接收連線類型的網路連接變化事件排名前30的進程,包括進程名、對外串連事件數目、相關裝置數以及路徑範例。 | 無 |
安全日誌
基準中心
圖表名稱 | 圖表類型 | 預設時間範圍 | 描述 | 範例 |
相關用戶端數 | 單值比較 | 今天(整點時間)/同比昨日 | 發生基準問題的外掛式主控件裝置的個數,,以及與昨日全天相比增加或減少的情況。 | 10.0個,0.01% |
新增基準數 | 單值比較 | 今天(整點時間)/同比昨日 | 新增基準事件數目,以及與昨日全天相比增加或減少的情況。 | 10.0個,-0.01% |
驗證基準數 | 單值比較 | 今天(整點時間)/同比昨日 | 驗證基準事件數目,以及與昨日全天相比增加或減少的情況。 | 10.0個,-0.01% |
高優先順序基準數 | 單值比較 | 今天(整點時間)/環比昨日 | 發生的高優先順序的基準事件的個數,以及與昨日全天相比增加或減少的情況。 | 10.0個,0.01% |
基準操作趨勢 | 流圖 | 今天(整點時間) | 每小時的各種基準操作(新增、驗證等)的趨勢圖,單位為個。 | 無 |
基準子類型趨勢 | 流圖 | 今天(整點時間) | 每小時的各種基準子類型(系統賬戶安全、註冊表等)的趨勢圖,單位為個。 | 無 |
基準狀態趨勢 | 流圖 | 今天(整點時間) | 每小時的各種基準狀態(未修複、已修複)的趨勢圖,單位為個。 | 無 |
基準操作方式分布 | 環圖 | 今天(整點時間) | 各種基準操作(新增、驗證等)的分布。 | 無 |
基準子類型分布 | 環圖 | 今天(整點時間) | 各種基準子類型(系統賬戶安全、註冊表等)的分布。 | 無 |
基準狀態分布 | 環圖 | 今天(整點時間) | 各種基準最新狀態(未修複、已修複、修複失敗等)的分布。 重要 如果一台伺服器的一個基準有多個狀態變化,取最新的狀態歸類。 | 無 |
新增基準Top10 | 環圖 | 今天(整點時間) | 在各個裝置上新增次數排名前10的基準。 | 無 |
驗證基準Top10 | 環圖 | 今天(整點時間) | 在各個裝置上驗證次數排名前10的基準。 | 無 |
基準事件用戶端Top20 | 表格 | 今天(整點時間) | 存在基準事件的數量排名前10的裝置,包括用戶端、基準事件數目、新增基準數量、處理基準數量、高或中優先順序數量。 | 無 |
漏洞中心
圖表名稱 | 圖表類型 | 預設時間範圍 | 描述 | 範例 |
相關用戶端數 | 單值比較 | 今天(整點時間)/同比昨日 | 發生漏洞問題的外掛式主控件裝置的個數,以及與昨日全天相比增加或減少的情況。 | 10.0個,0.01% |
新增漏洞數 | 單值比較 | 今天(整點時間)/同比昨日 | 新增安全性漏洞事件數目,以及與昨日全天相比增加或減少的情況。 | 10.0個,0.01% |
驗證漏洞數 | 單值比較 | 今天(整點時間)/同比昨日 | 驗證安全性漏洞事件數目,以及與昨日全天相比增加或減少的情況。 | 10.0個,-0.01% |
修複漏洞數 | 單值比較 | 今天(整點時間)/同比昨日 | 修複安全性漏洞事件數目,以及與昨日全天相比增加或減少的情況。 | 10.0個,-0.01% |
漏洞操作趨勢 | 流圖 | 今天(整點時間) | 每小時的各種漏洞操作(新增、驗證等)的趨勢圖,單位為個。 | 無 |
漏洞類型趨勢 | 流圖 | 今天(整點時間) | 每小時的各種漏洞類型(Windows漏洞、Linux漏洞、Web-CMS漏洞等)的趨勢圖,單位為個。 | 無 |
漏洞狀態趨勢 | 流圖 | 今天(整點時間) | 每小時的各種漏洞狀態(未修複、已修複)的趨勢圖,單位為個。 | 無 |
漏洞操作方式分布 | 環圖 | 今天(整點時間) | 各種漏洞操作(新增、驗證等)的分布。 | 無 |
漏洞類型分布 | 環圖 | 今天(整點時間) | 各種漏洞類型(Windows漏洞、Linux漏洞、Web漏洞等)的分布。 | 無 |
漏洞狀態分布 | 環圖 | 今天(整點時間) | 各種漏洞最新狀態(未修複、已修複、修複失敗等)的分布。 重要 如果一台機器的一個漏洞有多個狀態變化,取最新的狀態歸類。 | 無 |
新增漏洞Top10 | 環圖 | 今天(整點時間) | 在各個裝置上新增數量排名前10的漏洞。 | 無 |
驗證漏洞Top10 | 環圖 | 今天(整點時間) | 在各個裝置上驗證數量排名前10的漏洞。 | 無 |
修複漏洞Top10 | 環圖 | 今天(整點時間) | 在各個裝置上修複數量排名前10的漏洞。 | 無 |
漏洞事件用戶端Top20 | 表格 | 今天(整點時間) | 存在漏洞數量排名前20的裝置,包括用戶端、漏洞事件總數、新增漏洞數量、驗證漏洞數量、修複漏洞數量、各種類型漏洞數量。 | 無 |
警示中心
圖表名稱 | 圖表類型 | 預設時間範圍 | 描述 | 範例 |
相關用戶端數 | 單值比較 | 今天(整點時間)/同比昨日 | 發生安全警示問題的外掛式主控件裝置的個數,以及與昨日全天相比增加或減少的情況。 | 10.0個,0.01% |
新增警示數 | 單值比較 | 今天(整點時間)/同比昨日 | 新增安全警示事件數目,以及與昨日全天相比增加或減少的情況。 | 10.0個,-0.01% |
處理警示數 | 單值比較 | 今天(整點時間)/同比昨日 | 處理安全警示事件數目,以及與昨日全天相比增加或減少的情況。 | 10.0個,0.01% |
高優先順序警示數 | 單值比較 | 今天(整點時間)/環比昨日 | 發生的嚴重的安全警示事件的個數,以及與昨日全天相比增加或減少的情況。 | 10.0個,-0.01% |
警示操作趨勢 | 流圖 | 今天(整點時間) | 每小時的各種警示操作(新增、處理等)的趨勢圖,單位為個。 | 無 |
警示層級趨勢 | 流圖 | 今天(整點時間) | 每小時的各種警示層級(嚴重、可疑、提醒等)的趨勢圖,單位為個。 | 無 |
警示狀態趨勢 | 流圖 | 今天(整點時間) | 每小時的各種警示狀態(未修複、已修複)的趨勢圖,單位為個。 | 無 |
警示操作方式分布 | 環圖 | 今天(整點時間) | 各種警示操作(新增、處理等)的分布。 | 無 |
警示層級分布 | 環圖 | 今天(整點時間) | 各種警示層級(嚴重、可疑、提醒等)的分布。 | 無 |
警示狀態分布 | 環圖 | 今天(整點時間) | 各種警示最新狀態(未修複、已修複、修複失敗等)的分布。 重要 如果一台機器的一個警示有多個狀態變化,取最新的狀態歸類。 | 無 |
新增警示Top10 | 環圖 | 今天(整點時間) | 在各個裝置上新增數量排名前10的警示。 | 無 |
處理警示Top10 | 環圖 | 今天(整點時間) | 在各個裝置上處理數量排名前10的警示。 | 無 |
警示事件用戶端Top20 | 表格 | 今天(整點時間) | 警示事件數目量排名前20的裝置,包括用戶端、警示事件數目、新增或處理事件數目、嚴重或可疑事件數目、警示種類等。 | 無 |
常見問題
為什麼日誌匯出任務失敗?
可能的原因及解決方案如下:
查詢的日誌量超過2,000萬條的上限。
查詢語句過於複雜導致計算逾時,可嘗試縮小查詢的時間範圍或簡化查詢語句然後重試。
為什麼報表中沒有資料?
請按以下步驟排查:
確認已在日誌分析頁面開啟啟用開關。
確認選擇了正確的時間範圍。
如果是剛開啟功能,資料投遞和處理需要一定時間,請等待5-10分鐘。