本文详细介绍了阿里云态势感知与日志服务的集成,提供了如何查看和使用日志分析内置报表的指导,涵盖了安全、主机和网络等多个方面的报表功能,包括时间选择器、过滤条件和图表类型的设置,帮助用户更有效地监控和分析日志数据。
背景
目前,阿里云态势感知与日志服务打通,对外开放平台依赖或者产生的日志,包括网络、主机、安全三大类共14种子类日志。提供近实时的日志自动采集存储、并提供基于日志服务的查询分析、报表报警、下游计算对接与投递的能力。
本文介绍如何在态势感知控制台使用日志分析的内置报表功能。
日志报表 页面内嵌了日志服务的 仪表盘 页面。该页面为您展示您的默认仪表盘,您可以在当前页面通过修改时间范围、添加过滤条件等操作,查看多种筛选条件下的仪表盘数据。
查看报表
- 登录态势感知控制台,在左侧导航栏中选择 日志分析 ,进入 日志分析 页面。
- 选择您需要查看的日志类型,确认右侧的 状态 为开启。
- 单击 日志报表 。
图 1. 查看报表
为网站开通态势感知的日志分析功能后,日志服务为您自动创建9个默认的仪报表,关于默认仪表盘的更多信息,请查看默认仪表盘。
| 类别 | 仪表盘 | 报表作用 |
|---|---|---|
| 安全 | 告警中心 | 提供安全告警相关的全局视图,包括新增/处理的趋势、分布与状态等。 |
| 安全 | 漏洞中心 | 提供漏洞相关的全局视图,包括漏洞分布、新增/严重/修复的趋势、状态等。 |
| 安全 | 基线中心 | 提供基线检查相关的全局视图,包括检查问题分布、新增/处理的趋势、状态等。 |
| 主机 | 登录中心 | 提供云主机上被登录的全局视图,包括登录源和目标地址地理分布、趋势、登录端口和类型分布等。 |
| 主机 | 进程中心 | 提供云主机上进程启动相关的全局视图,包括进程启动趋势、分布,进程类型以及特定bash、java程序的启动分布等。 |
| 主机 | 网络连接中心 | 提供云主机上网络链接变化的全局视图,包括连接趋势、分布,链接目标以及接入的分布与趋势等。 |
| 网络 | DNS访问中心 | 提供云主机上的DNS查询的全局视图,包括外网查询成功率、本地以及外网DNS查询的分布、趋势等。 |
| 网络 | Web访问中心 | 提供主机对外Http以及基于主机的Web服务被访问的全局视图,请求成功率、访问趋势与有效率、被访问域名的分布、以及其他相关分布等。 |
| 网络 | 网络会话中心 | 提供云资产相关网络会话的全局视图,包括连接趋势、分布,链接目标以及接入的分布与趋势等。 |
图 2. 默认仪表盘
除了查看报表之外,您还可以进行以下操作:
时间选择器
仪表盘页面的所有图表都是基于不同时间段的数据统计结果,例如网络连接中心的连接事件的默认时间范围为1小时,相关设备为当天。如您想要设置当前页面的所有图表均按照同样的时间范围显示,可以设置 时间选择器 。
- 单击 请选择 。
- 在弹出的设置框中选择您的设置。您可以选择相对时间、整点时间或设置自定义时间。
说明:
- 修改时间范围后,所有图表的时间都会改成这个时间范围。
- 时间选择器仅在当前页面提供临时的图表查看方式,系统不保存该设置。您下次查看报表时,系统仍会为您展示默认的时间范围。
图 3. 设置时间范围
过滤条件
当您选择网站并单击 日志报表 ,进入仪表盘页面后,系统会自动显示并列出相关类别的所有报表。
您可以通过设置 过滤条件 修改报表的数据展示范围。
- 添加更多过滤条件
您可以设置 key 和 value ,进一步对报表数据进行筛选。多个过滤条件之间为AND关系。
例如查看通过Windows远程桌面登录的总体情况:
图 4. 添加过滤条件
说明 字段warn_type是登录日志的字段,表示登录的方式,关于更详细的完整字段列表和信息,可以参考态势感知日志字段。 |
图表类型
报表展示区域按照预定义的布局展示多个报表,包括如下几个类型,更多图表类型请参考图表说明。
| 图表类型 | 说明 |
|---|---|
| 数字/比较数 | 表示一些重要指标,如新产生漏洞数、累计登录数等,一般也会有一个与昨日比较的值。 |
| 线/面积图 | 表示一些重要指标特定时间单元内的趋势图,如新增告警趋势、网络连接趋势等。 |
| 地图 | 表示一些云资产或者网络连接访问的源/目标的地理分布,如资产设备分布、登录源分布,网络连接源地理分布等。 |
| 饼图/环图 | 表示一些信息的分布,例如被新增漏洞前10、登录方式分布等。 |
| 表格 | 展示特定维度下前N名的详细信息,一般分多个列。 |
默认仪表盘
安全:告警中心
提供安全告警相关的全局视图,包括新增/处理的趋势、分布与状态等。
| 图表 | 类型 | <
|---|
最低0.47元/天 解锁文章
663
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
