腾讯云日志审计系统如何对日志进行分析

腾讯云知识 3月 19, 2021 117 0

本章介绍如何对日志进行分析。主要包含以下内容：

查看日志：介绍日志查看的方法。

临时检索日志：介绍临时检索的方法。

快捷检索配置：介绍快捷检索的方法。

保存检索条件：介绍保存检索条件的方法。

历史日志分析：介绍历史日志分析的方法。

快捷检索日志：介绍快捷检索日志的方法。

重点关注日志：介绍重点关注日志的查看方法。

日志导出：介绍导出日志的方法。

查看日志
选择菜单日志分析，默认进入日志查看页面
系统默认显示最近一个小时内的日志的监控信息。管理员可以配置搜索条件，具体介绍请参见下文快捷检索配置。
自动刷新功能默认关闭，使用F5快捷键可以手动刷新页面信息；如需开启自动刷新，需要先选择刷新频率，然后单击按钮，

日志分析支持通过选择两类属性进行日志分析：日志属性和资产属性，其中资产属性支持按照资产名称和资产标签进行进一步检索

其中，按照分类检索出的日志支持配置是否显示空字段，以及支持跳转至事件规则页面配置相应的事件规则

临时检索日志
根据指定条件检索日志的具体操作如下：

步骤 1 选择菜单日志分析，进入日志查看页面，默认显示最近1个小时内收集到的全部日志
步骤 2 选择时间范围。
除了选择系统给出的最近1小时、最近24小时、最近7天、最近30天之外，还可以选择自定义，然后单击，设置产生日志的时间范围。

步骤 3 选择属性。
a. 如果选择日志属性，则需配置待查询的日志和查询条件，按照所选日志类型，设置查询条件。根据所选日志类型所在的大类不同，需要设置的查询条件略有不同

全部日志	日志来源IP	日志源设备的IP地址。
安全设备日志	日志来源IP	日志源设备的IP地址。
	源/目的IP	日志中的源/目的IP地址。
	源/目的端口	日志中的源/目的端口号。
网络设备日志	日志来源IP	日志源设备的IP地址。
数据库数据	日志来源IP	日志源设备的IP地址。
Windows主机事件日志	日志来源IP	日志源设备的IP地址。
	用户	日志中的用户名称。
	操作	日志中的对主机进行的操作。
	日志名称	日志的名称。
Linux主机系统日志	日志来源IP	日志源设备的IP地址。
Linux主机系统日志	日志名称	日志的名称。
WEB服务器日志	日志来源IP	日志源设备的IP地址。
	客户端IP	日志中记录的客户端IP地址。
	协议版本	日志中的协议版本信息。
	请求方法	向WEB服务器发起请求的方法。
	状态码	WEB服务器响应请求的状态码。
虚拟化平台日志	日志来源IP	日志源设备的IP地址。
网络设备流量	日志来源IP	日志源设备的IP地址。
	源/目的IP	日志中的源/目的IP地址。
	源/目的端口	日志中的源/目的端口号。
其它日志	日志来源IP	日志源设备的IP地址。

b. 如果选择资产属性，则需配置资产名称和标签。

步骤 4 （可选）配置自定义检索条件。
a. 如果需要进一步细化查询结果，则可以在自定义检索文本框中输入查询条件。
b. 单击【搜索】按钮，页面默认以列表形式展示搜索结果。

步骤 5 设置日志分析条件后后，满足条件的日志以列表形式展示，可以查看日志的统计图和列表

查看日志统计图
如果想查看查询结果的图表形式，单击检索结果列表左上角的，生成的图表将显示在列表上方

月图
选择的时间范围为（30~100）天，时间粒度为月。

日图
选择的时间范围为（24 ~24*30）小时，时间粒度为天。

时图
选择的时间范围为（0 ~24）小时，时间粒度为小时。
鼠标指向柱状图，可以查看相应的日志总量

单击/ ，可以将统计图展示形式在柱状图/折线图之间切换。
单击，可以将统计图保存为图片。
查看日志列表
查看日志详情
日志列表中展示日志原文及日志解析及字段转义后的内容。

筛选列表中的展示内容
单击日志列表中日志产生时间前的图标，展开LAS处理后的日志，可以查看所有字段信息。

配置字段提取
鼠标悬浮于某条日志，出现字段提取图标，单击该图标，进入数据源的字段提取页面，可以配置字段提取规则。具体介绍请参见配置字段提取规则。

导出日志
日志列表左上方展示查询时间范围内的最新日志数，单击按钮，将弹出日志文件压缩包的密码设置界面（若不设置，导出的日志文件压缩包将使用默认密码logaudit），设置后导出的日志文件需要设置正确的密码才能解压缩。

显示/隐藏空字段
单击按钮可以显示空字段。此时单击按钮即可隐藏空字段。

配置事件规则
单击可以配置事件规则。

快捷检索配置
配置快捷检索的具体操作如下：

步骤 1 在图5-1 所示页面，单击蓝色文字链接“快捷检索配置”或者在快捷检索页面，单击图标，进入日志分析配置页面，如图5-7所示。
5-7日志分析配置

步骤 2 添加分组。
a. 单击分组列表中的，弹出新建分组对话框，如图5-8所示。

5-8新建分组

b. 配置分组名称。

名称的取值范围为1~30个字符；不允许包含特殊字符；名称不允许相同。

c. 单击【确定】按钮。

步骤 3 （可选）根据需要，添加子组。
a. 在分组列表中选择一个分组。

b. 单击右侧子组列表中的。

弹出添加子组对话框，如图5-8所示。

c. 配置子组名称。

名称的取值范围为1~30个字符；不允许包含特殊字符；名称不允许相同。

d. 单击【确定】按钮。

步骤 4 添加检索条件。
选择一个分组/子组，将5.1.5 保存检索条件中保存的未分类分组拖拽至该分组中即可。

单击某个检索条件的名称，将跳转至如图5-1所示页面，可以重新配置检索条件的内容。

步骤 5 单击【确定】按钮。
----结束

保存检索条件
LAS支持手动保存 5.1.3 临时检索日志中使用的搜索条件，以便用户对满足该条件的日志进行多次搜索。

手动保存检索条件的具体操作如下：

步骤 1 在如图5-1所示的日志查看页面，配置检索条件。
步骤 2 单击检索框下方的蓝色文字链接“保存检索条件”。
弹出检索另存为对话框，如图5-9所示。

5-9检索另存为

步骤 3 配置当前检索条件的名称。
步骤 4 保存检索条件。
单击【保存】或【保存并分组】按钮，将检索条件保存至快捷检索配置的未分类分组中。
----结束

历史日志分析
当LAS系统中的日志量满6个月，或系统接入的日志量超过30亿时，超限部分的日志会按照时间先后顺序进行压缩后离线，LAS系统最多可重载2亿条离线日志。

若用户需要查看因超限而离线的日志信息，可以通过重载离线日志对历史日志进行查询、查看。重载离线日志时，LAS系统将压缩的日志信息进行解压。

步骤 1 选择菜单日志分析 > 日志分析，进入日志分析页面，日志满6个月或日志量超过30亿，页面将出现提示，如图5-10 所示。
5-10 日志量超30亿

步骤 2 单击文字链接“重载离线日志”，进入历史日志分析页面，如图5-11 所示。
5-11 历史日志分析

页面左侧陈列所有类型的日志，日志后有数字显示的，表示LAS对该类日志进行过离线缓存，存在离线索引，数字代表离线索引的数量。

页面右侧以日历形式展示某类型日志1~6月或7~12月离线缓存情况。若当前月份属于上半年，则页面右侧展示1~6月的离线缓存情况，当前月份属于下半年，则页面右侧展示7~12月的离线缓存情况。

单击某一类型日志，页面右侧显示该类日志的离线索引情况：

a. 灰色气泡表示未重载的离线索引，灰色气泡的数量表示未重载离线索引的数量；

b. 蓝色气泡表示已重载的离线索引，蓝色气泡的数量表示已重载离线索引的数量；

c. 灰色气泡和蓝色气泡的位置表示离线缓存的时间。

步骤 3 选择离线索引。
单击页面右侧某一灰色气泡，气泡颜色由灰色变为蓝色，表示选择该离线索引进行重载。

步骤 4 单击【保存并重载】按钮，重载选定的离线索引中离线的日志数据供用户查询。
----结束

快捷检索日志
用户可以使用常用检索条件，快速搜索满足条件的日志，具体操作如下：

步骤 1 在图5-1 所示页面，切换页签到“快捷检索”，如图5-12 所示。
快捷检索条件

步骤 2 单击左侧的日志类型，并选择下一级的日志，页面右侧将显示检索到的日志详情。
检索必须为三级标题，一级，二级标题不支持检索。

步骤 3 单击图标，即可在重点关注日志中添加该条日志分析信息。
----结束

重点关注日志
用户可以使用重点关注日志，快速搜索满足条件的日志，具体操作如下：

步骤 1 在图5-1 所示页面，切换页签到“重点关注”，如图5-13所示。
重点关注日志

步骤 2 单击左侧的日志类型，页面右侧将显示检索到的日志详情。
步骤 3 单击图标，即可在重点关注日志中移除该条日志分析信息。
步骤 4 单击图标，即可在重点关注日志中上下腾讯该日志的排序。
----结束

日志导出
日志导出分为导出全部日志和导出指定字段的日志。

导出全部日志的操作如下：

步骤 1 在如图5-5 所示页面，在日志类型中，选择全部日志，在右侧的日志详情页面，单击蓝色文字链接“日志导出”，进入日志导出配置页面，如图5-14所示。
5-14 全部日志导出

步骤 2 配置导出时的日志解压缩密码，单击【确定】，即可导出全部日志到本地。
----结束

导出指定字段日志的操作如下：

步骤 1 在如图5-5所示页面，在日志类型中，选择任意一种类型的日志，在右侧的日志详情页面，单击蓝色文字链接“日志导出”，进入日志导出配置页面，如图5-15所示。
5-15 字段日志导出

步骤 2 配置导出时的日志解压缩密码，并在导出字段参数下，左侧的选择框中选择需要导出的字段。
步骤 3 单击【确定】，即可导出指定字段的日志到本地。